Wie stelle ich ein KMS-verschlüsseltes Backup aus einer On-Premises-Umgebung in RDS für SQL Server wieder her?

Lesedauer: 3 Minute

Ich möchte ein mit AWS Key Management Service (AWS KMS) verschlüsseltes Backup aus einer On-Premises-Umgebung auf einer Server-Instance bei Amazon Relational Database Service (Amazon RDS) für Microsoft SQL wiederherstellen. Ich möchte die native Backup- und Wiederherstellungsfunktion verwenden.

Kurzbeschreibung

Die AWS-KMS-Verschlüsselung verschlüsselt Backup-Dateien eines Microsoft-SQL-Servers in RDS für SQL Server sicher mit einem AWS-KMS-Schlüssel. Sie können die verschlüsselten Backups nur innerhalb desselben AWS-Kontos auf RDS-SQL-Server-Instances wiederherstellen.

Voraussetzungen:

Ein Amazon Simple Storage Service (Amazon S3)-Bucket.
Ein vom Kunden verwalteter AWS-KMS-Schlüssel.
**Hinweis:**Amazon RDS unterstützt keine asymmetrischen AWS-KMS-Schlüssel.
Eine vorkonfigurierte RDS-Instance zur Durchführung der systemeigenen Backup-Wiederherstellung. Weitere Informationen finden Sie unter How do I perform native backups of an Amazon RDS DB instance that's running SQL Server?
Python 3.10 ist im lokalen System installiert, um die Sicherungsdateien zu entschlüsseln.

Lösung

Geben Sie den AWS-KMS-Schlüsselparameter @kms_master_key_arn an, um die clientseitige Verschlüsselung für das native Backup zu starten:

exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

Stellen Sie das verschlüsselte AWS-KMS-Backup in einer anderen Instance bei RDS für SQL Server in derselben AWS-Region und demselben AWS-Konto wieder her. Geben Sie im folgenden Befehl denselben AWS-KMS-Schlüssel an, den Sie für die Verschlüsselung des Backups verwendet haben:

exec msdb.dbo.rds_restore_database @restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

Wiederherstellen eines mit AWS KMS verschlüsselten Backups in einer anderen Region unter demselben Konto

Erstellen Sie einen Primärschlüssel für mehrere Regionen. Wählen Sie als Schlüsseltyp die Option Symmetrischer Schlüssel.
Erstellen Sie Replikatschlüssel für die Zielregion.

Geben Sie den AWS-KMS-Schlüsselparameter @kms_master_key_arn in Region A an, um ein verschlüsseltes natives Backup zu starten:

exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

Kopieren Sie die Backup-Datei in den S3-Bucket in derselben Region. Amazon RDS unterstützt keine regionsübergreifenden Buckets.

Stellen Sie das mit AWS KMS verschlüsselte Backup in Region B wieder her. Geben Sie dieselbe AWS-KMS-Schlüssel-ID an, die Sie für die Verschlüsselung des Backups verwendet haben:

exec msdb.dbo.rds_restore_database ;@restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-2:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

**Hinweis:**Ersetzen Sie us-east-2 durch die Region Ihres AWS-KMS-Schlüssels.

Wiederherstellen eines mit AWS KMS verschlüsselten Backups kontenübergreifend, regionsübergreifend oder in einer On-Premises-Umgebung

Die folgenden drei Szenarien erfordern eine Problemumgehung, um das Backup wiederherzustellen:

**Kontenübergreifend:**Sie müssen das mit AWS KMS verschlüsselte Datenbank-Backup in derselben Region wiederherstellen, jedoch unter einem anderen Konto. Sie können AWS-KMS-Schlüssel nicht für mehrere Konten in Amazon RDS gemeinsam nutzen. Beispielsweise können Sie ein Backup in Konto A nicht mit dem AWS-KMS-Schlüssel K1 verschlüsseln und das Backup dann in Konto B mit demselben Schlüssel wiederherstellen.
**Konten- und regionsübergreifend:**Sie müssen das mit AWS KMS verschlüsselte Datenbank-Backup in einer anderen Region unter einem anderen Konto wiederherstellen. Sie können in Amazon RDS keine AWS-KMS-Schlüssel für mehrere Konten nutzen oder Buckets für mehrere Regionen verwenden.
**On-Premises:**Sie müssen das mit AWS KMS verschlüsselte Datenbank-Backup in einer On-Premises-Umgebung wiederherstellen. Die AWS-KMS-Schlüsseldetails sind eine externe Entität. Vor der Wiederherstellung müssen Sie die mit AWS KMS verschlüsselten Dateien entschlüsseln.

Eine Lösung für diese Einschränkungen finden Sie im Abschnitt Export from Amazon RDS for SQL Server unter Client-side encryption and decryption of Microsoft SQL Server backups for use with Amazon RDS.

Relevanter Inhalt

Wie stelle ich eine verschlüsselte Sicherungsdatei oder ein verschlüsseltes Microsoft-Azure-Backup in RDS for SQL Server aus einer lokalen Umgebung wieder her?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie stelle ich mit der AWS CLI ein Amazon EFS-Dateisystem von einem AWS Backup-Wiederherstellungspunkt aus wieder her?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie führe ich ein Upgrade oder Downgrade der Edition der SQL-Server-Engine in RDS for SQL Server durch?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie stelle ich einen CloudHSM-Cluster aus einem früheren Backup wieder her?
AWS OFFICIALAktualisiert vor 3 Jahren