Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mencadangkan dan memulihkan TDE sertifikat untuk database lokal
Anda dapat mencadangkan TDE sertifikat untuk database lokal, kemudian mengembalikannya ke ServerRDS. SQL Anda juga dapat memulihkan TDE sertifikat RDS for SQL Server ke instans DB lokal.
Prosedur berikut mencadangkan TDE sertifikat dan kunci pribadi. Kunci pribadi dienkripsi menggunakan kunci data yang dihasilkan dari kunci enkripsi simetris Anda. KMS
Untuk membuat cadangan sertifikat lokal TDE
-
Hasilkan kunci data menggunakan AWS CLI generate-data-keyperintah.
aws kms generate-data-key \ --key-idmy_KMS_key_ID\ --key-spec AES_256Output-nya seperti berikut.
{ "CiphertextBlob": "AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ 2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==", "Plaintext": "U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0=", "KeyId": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-00ee-99ff-88dd-aa11bb22cc33" }Anda dapat menggunakan output teks biasa pada langkah berikutnya sebagai kata sandi kunci privat.
-
Cadangkan TDE sertifikat Anda seperti yang ditunjukkan pada contoh berikut.
BACKUP CERTIFICATEmyOnPremTDEcertificateTO FILE = 'D:\tde-cert-backup.cer' WITH PRIVATE KEY ( FILE = 'C:\Program Files\Microsoft SQL Server\MSSQL14.MSSQLSERVER\MSSQL\DATA\cert-backup-key.pvk', ENCRYPTION BY PASSWORD = 'U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0='); -
Simpan file cadangan sertifikat ke bucket sertifikat Amazon S3.
-
Simpan file cadangan kunci privat ke bucket sertifikat S3 Anda, dengan tag berikut di metadata file:
-
Kunci –
x-amz-meta-rds-tde-pwd -
Nilai – Nilai
CiphertextBlobdari menghasilkan kunci data, seperti pada contoh berikut.AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ 2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==
-
Prosedur berikut mengembalikan TDE sertifikat RDS for SQL Server ke instans DB lokal. Anda menyalin dan memulihkan TDE sertifikat pada instans DB tujuan Anda menggunakan cadangan sertifikat, file kunci pribadi yang sesuai, dan kunci data. Sertifikat yang dipulihkan dienkripsi oleh kunci utama basis data server baru.
Untuk mengembalikan TDE sertifikat
-
Salin file cadangan TDE sertifikat dan file kunci pribadi dari Amazon S3 ke instance tujuan. Untuk informasi selengkapnya tentang menyalin file dari Amazon S3, lihat Mentransfer file antara RDS untuk SQL Server dan Amazon S3.
-
Gunakan KMS kunci Anda untuk mendekripsi teks cipher output untuk mengambil teks biasa dari kunci data. Teks sandi berada di metadata S3 file cadangan kunci privat.
aws kms decrypt \ --key-idmy_KMS_key_ID\ --ciphertext-blob fileb://exampleCiphertextFile| base64 -d \ --output text \ --query PlaintextAnda dapat menggunakan output teks biasa pada langkah berikutnya sebagai kata sandi kunci privat.
-
Gunakan SQL perintah berikut untuk mengembalikan TDE sertifikat Anda.
CREATE CERTIFICATEmyOnPremTDEcertificateFROM FILE='D:\tde-cert-backup.cer' WITH PRIVATE KEY (FILE = N'D:\tde-cert-key.pvk', DECRYPTION BY PASSWORD = 'plain_text_output');
Untuk informasi lebih lanjut tentang KMS dekripsi, lihat mendekripsi di KMS bagian Referensi Perintah.AWS CLI
Setelah TDE sertifikat dipulihkan pada instans DB tujuan, Anda dapat memulihkan database terenkripsi dengan sertifikat itu.
catatan
Anda dapat menggunakan TDE sertifikat yang sama untuk mengenkripsi beberapa database SQL Server pada instans DB sumber. Untuk memigrasikan beberapa database ke instance tujuan, salin TDE sertifikat yang terkait dengannya ke instance tujuan hanya sekali.
