Sauvegarde et restauration des TDE certificats pour les bases de données locales - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sauvegarde et restauration des TDE certificats pour les bases de données locales

Vous pouvez sauvegarder les TDE certificats des bases de données locales, puis les restaurer RDS ultérieurement sur SQL Server. Vous pouvez également restaurer un TDE certificat RDS for SQL Server sur une instance de base de données sur site.

La procédure suivante sauvegarde un TDE certificat et une clé privée. La clé privée est chiffrée à l'aide d'une clé de données générée à partir de votre KMS clé de chiffrement symétrique.

Pour sauvegarder un certificat sur site TDE

  1. Générez la clé de données à l'aide de la AWS CLI generate-data-keycommande.

    aws kms generate-data-key \
    --key-id my_KMS_key_ID \
    --key-spec AES_256

    La sortie se présente comme suit :

    {
"CiphertextBlob": "AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B
BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ
2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==",
"Plaintext": "U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0=",
"KeyId": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-00ee-99ff-88dd-aa11bb22cc33"
}

    Vous utilisez la sortie en texte brut à l'étape suivante comme mot de passe de clé privée.

  2. Sauvegardez votre TDE certificat comme indiqué dans l'exemple suivant.

    BACKUP CERTIFICATE myOnPremTDEcertificate TO FILE = 'D:\tde-cert-backup.cer'
WITH PRIVATE KEY (
FILE = 'C:\Program Files\Microsoft SQL Server\MSSQL14.MSSQLSERVER\MSSQL\DATA\cert-backup-key.pvk',
ENCRYPTION BY PASSWORD = 'U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0=');

  3. Enregistrez le fichier de sauvegarde de certificat dans votre compartiment de certificat Amazon S3.

  4. Enregistrez le fichier de sauvegarde de clé privée dans votre compartiment de certificat S3, avec la balise suivante dans les métadonnées du fichier :

    • Clé : x-amz-meta-rds-tde-pwd

    • Valeur : valeur CiphertextBlob issue de la génération de la clé de données, comme dans l'exemple suivant.

      AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B
BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ
2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==

La procédure suivante restaure un TDE certificat RDS for SQL Server sur une instance de base de données sur site. Vous copiez et restaurez le TDE certificat sur votre instance de base de données de destination à l'aide de la sauvegarde du certificat, du fichier de clé privée et de la clé de données correspondants. Le certificat restauré est chiffré par la clé principale de base de données du nouveau serveur.

Pour restaurer un TDE certificat

  1. Copiez le fichier de sauvegarde du TDE certificat et le fichier de clé privée depuis Amazon S3 vers l'instance de destination. Pour plus d'informations sur la copie de fichiers depuis Amazon S3, consultez Transfert de fichiers entre RDS for SQL Server et Amazon S3.

  2. Utilisez votre KMS clé pour déchiffrer le texte chiffré de sortie afin de récupérer le texte brut de la clé de données. Le texte chiffré se trouve dans les métadonnées S3 du fichier de sauvegarde de la clé privée.

    aws kms decrypt \
    --key-id my_KMS_key_ID \
    --ciphertext-blob fileb://exampleCiphertextFile | base64 -d \
    --output text \
    --query Plaintext

    Vous utilisez la sortie en texte brut à l'étape suivante comme mot de passe de clé privée.

  3. Utilisez la SQL commande suivante pour restaurer votre TDE certificat.

    CREATE CERTIFICATE myOnPremTDEcertificate FROM FILE='D:\tde-cert-backup.cer'
WITH PRIVATE KEY (FILE = N'D:\tde-cert-key.pvk',
DECRYPTION BY PASSWORD = 'plain_text_output');

Pour plus d'informations sur le KMS déchiffrement, voir déchiffrer dans la KMS section du manuel de référence des AWS CLI commandes.

Une fois le TDE certificat restauré sur l'instance de base de données de destination, vous pouvez restaurer les bases de données chiffrées avec ce certificat.

Note

Vous pouvez utiliser le même TDE certificat pour chiffrer plusieurs bases de données de SQL serveur sur l'instance de base de données source. Pour migrer plusieurs bases de données vers une instance de destination, copiez le TDE certificat qui leur est associé sur l'instance de destination une seule fois.