Backup e ripristino dei TDE certificati per i database locali - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Backup e ripristino dei TDE certificati per i database locali

È possibile eseguire il backup TDE dei certificati per i database locali, quindi ripristinarli successivamente su for Server. RDS SQL Puoi anche ripristinare un TDE certificato RDS for SQL Server su un'istanza DB locale.

La procedura seguente esegue il backup di un TDE certificato e di una chiave privata. La chiave privata viene crittografata utilizzando una chiave dati generata dalla chiave di crittografia KMS simmetrica dell'utente.

Per eseguire il backup di un certificato locale TDE

  1. Genera la chiave dati utilizzando il AWS CLI generate-data-keycomando.

    aws kms generate-data-key \
    --key-id my_KMS_key_ID \
    --key-spec AES_256

    L'output è simile a quello riportato di seguito.

    {
"CiphertextBlob": "AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B
BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ
2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==",
"Plaintext": "U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0=",
"KeyId": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-00ee-99ff-88dd-aa11bb22cc33"
}

    L'output di testo normale nel passaggio successivo viene utilizzato come password della chiave privata.

  2. Eseguite il backup TDE del certificato come illustrato nell'esempio seguente.

    BACKUP CERTIFICATE myOnPremTDEcertificate TO FILE = 'D:\tde-cert-backup.cer'
WITH PRIVATE KEY (
FILE = 'C:\Program Files\Microsoft SQL Server\MSSQL14.MSSQLSERVER\MSSQL\DATA\cert-backup-key.pvk',
ENCRYPTION BY PASSWORD = 'U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0=');

  3. Salva il file di backup del certificato nel bucket di certificato Amazon S3.

  4. Salva il file di backup della chiave privata nel bucket di certificato S3, con il seguente tag nei metadati del file:

    • Chiave - x-amz-meta-rds-tde-pwd

    • Value – Il valore CiphertextBlob risultante dalla generazione della chiave dei dati, come nell'esempio seguente.

      AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B
BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ
2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==

La procedura seguente ripristina un TDE certificato RDS for SQL Server su un'istanza DB locale. Si copia e si ripristina il TDE certificato sull'istanza DB di destinazione utilizzando il backup del certificato, il file di chiave privata corrispondente e la chiave dati. Il certificato ripristinato viene crittografato dalla chiave master del database del nuovo server.

Per ripristinare un TDE certificato

  1. Copia il file di backup del TDE certificato e il file della chiave privata da Amazon S3 all'istanza di destinazione. Per ulteriori informazioni sulla copia di file da Amazon S3, consulta Trasferimento di file tra RDS for SQL Server e Amazon S3.

  2. Usa la tua KMS chiave per decrittografare il testo cifrato in uscita per recuperare il testo semplice della chiave dati. Il testo crittografato si trova nei metadati S3 del file di backup della chiave privata.

    aws kms decrypt \
    --key-id my_KMS_key_ID \
    --ciphertext-blob fileb://exampleCiphertextFile | base64 -d \
    --output text \
    --query Plaintext

    L'output di testo normale nel passaggio successivo viene utilizzato come password della chiave privata.

  3. Usa il seguente SQL comando per ripristinare il certificato. TDE

    CREATE CERTIFICATE myOnPremTDEcertificate FROM FILE='D:\tde-cert-backup.cer'
WITH PRIVATE KEY (FILE = N'D:\tde-cert-key.pvk',
DECRYPTION BY PASSWORD = 'plain_text_output');

Per ulteriori informazioni sulla KMS decrittografia, consulta decrypt nella KMS sezione del Command Reference.AWS CLI

Dopo il ripristino del TDE certificato sull'istanza DB di destinazione, è possibile ripristinare i database crittografati con tale certificato.

Nota

È possibile utilizzare lo stesso TDE certificato per crittografare più database SQL Server sull'istanza DB di origine. Per migrare più database su un'istanza di destinazione, copia il TDE certificato ad essi associato nell'istanza di destinazione una sola volta.