Создание зашифрованной резервной копии

Применимо к:SQL Server

В этой статье описаны действия, необходимые для создания зашифрованной резервной копии с помощью Transact-SQL. Пример использования СРЕДЫ SQL Server Management Studio см. в статье "Создание полной резервной копии базы данных".

Внимание

Чтобы восстановить зашифрованную базу данных, потребуется доступ к сертификату или асимметричному ключу, использовавшемуся для шифрования этой базы данных. Без сертификата или асимметричного ключа вы не сможете восстановить базу данных. Сохраняйте сертификат, который использовали для шифрования ключа шифрования базы данных, в течение всего периода хранения резервной копии. Дополнительные сведения см. в статье SQL Server Certificates and Asymmetric Keys.

Необходимые компоненты

• служба хранилища для зашифрованной резервной копии. В зависимости от выбранного варианта один из следующих вариантов:

  • Локальный диск или хранилище с достаточным пространством для создания резервной копии базы данных.
  • Учетная запись служба хранилища Azure и контейнер. Дополнительные сведения см. в разделе Создание учетной записи хранения.

• Главный ключ базы данных (DMK) для master базы данных, а также сертификат или асимметричный ключ экземпляра SQL Server. Требования к шифрованию и разрешения см. в разделе "Шифрование резервных копий".

Создание главного ключа базы данных (DMK)

Выберите пароль для шифрования копии dmK, которая будет храниться в базе данных. Подключение в ядро СУБД, запустите новое окно запроса, скопируйте и вставьте следующий пример и нажмите кнопку "Выполнить".

Замените <master key password> строгим паролем и убедитесь, что копия dmK и пароль хранятся в безопасном расположении.

USE master;
GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<master key password>';
GO

Создание сертификата резервного копирования

Создайте сертификат резервного master копирования в базе данных. Скопируйте приведенный ниже пример в окно запроса и нажмите кнопку Выполнить.

Use master;
GO

CREATE CERTIFICATE MyTestDBBackupEncryptCert
    WITH SUBJECT = 'MyTestDB Backup Encryption Certificate';
GO

Резервное копирование базы данных с помощью шифрования

Существует два основных варианта создания зашифрованной резервной копии:

• Резервное копирование на диск
• Резервное копирование в службу хранилища Azure

Резервное копирование на диск

Выполните следующие шаги, чтобы создать зашифрованную резервную копию базы данных на локальном диске. В этом примере используется вызываемая MyTestDBпользовательская база данных.

Укажите алгоритм шифрования и сертификат для использования. Скопируйте приведенный ниже пример в окно запроса и нажмите кнопку Выполнить.

Замените <path_to_local_backup> локальный путь, в который SQL Server имеет разрешение на запись. Например, этот путь может быть D:\SQLBackup.

BACKUP DATABASE [MyTestDB]
TO DISK = N'<path_to_local_backup>\MyTestDB.bak'
WITH
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Пример шифрования резервной копии, защищенной расширяемым управлением ключами (EKM), см. в разделе "Расширяемое управление ключами" с помощью Azure Key Vault (SQL Server).

Резервное копирование до служба хранилища Azure

Если вы создаете резервную копию в хранилище Azure с помощью параметра резервного копирования SQL Server по URL-адресу , то шаги шифрования одинаковы, но необходимо использовать URL-адрес в качестве назначения и учетные данные SQL для проверки подлинности в хранилище Azure. Если вы хотите настроить управляемое резервное копирование SQL Server в Microsoft Azure с параметрами шифрования, см. статью "Включить управляемое резервное копирование SQL Server в Azure".

Создание учетных данных SQL Server

Чтобы создать учетные данные SQL Server, подключитесь к ядро СУБД, откройте новое окно запроса и скопируйте и вставьте следующий пример и нажмите кнопку "Выполнить".

Замените <mystorageaccount> именем учетной записи хранения, указанной при создании учетной записи хранения, и <storage account access key> первичным или вторичным ключом доступа для учетной записи хранения.

CREATE CREDENTIAL mycredential
WITH IDENTITY = '<mystorageaccount>',
SECRET = '<storage account access key>';

Создание резервной копии базы данных

Укажите алгоритм шифрования и сертификат для использования. Скопируйте приведенный ниже пример в окно запроса и нажмите кнопку Выполнить.

В этом примере mycredential имя созданных ранее <mystorageaccountname> учетных данных — это имя учетной записи хранения и <mycontainername> имя контейнера хранилища.

BACKUP DATABASE AdventureWorks2022
TO URL = 'https://<mystorageaccountname>.blob.core.windows.net/<mycontainername>/AdventureWorks2022.bak'
WITH CREDENTIAL = 'mycredential',
COMPRESSION,
ENCRYPTION (
    ALGORITHM = AES_256,
    SERVER CERTIFICATE = MyTestDBBackupEncryptCert
),
STATS = 10;
GO

Связанный контент

• Restore a Database Backup Using SSMS
• Иерархия средств шифрования
• Обзор резервного копирования (SQL Server)