Comment puis-je restaurer un fichier de sauvegarde chiffré KMS sur RDS for SQL Server à partir d'un environnement sur site ?

Lecture de 4 minute(s)

Je souhaite restaurer un fichier de sauvegarde chiffré par AWS Key Management Service (AWS KMS) depuis un environnement sur site vers une instance Amazon Relational Database Service (Amazon RDS) pour une instance Microsoft SQL Server. Je souhaite utiliser la fonctionnalité native de sauvegarde et de restauration.

Brève description

Le chiffrement AWS KMS chiffre de manière sécurisée un fichier de sauvegarde Microsoft SQL Server dans RDS for SQL Server à l'aide d'une clé AWS KMS. Vous pouvez restaurer les sauvegardes chiffrées sur des instances de serveur SQL RDS uniquement au sein du même compte AWS.

Conditions préalables :

un compartiment Amazon Simple Storage Service (Amazon S3)
une clé AWS KMS gérée par le client
Remarque : Amazon RDS ne prend pas en charge les clés AWS KMS asymétriques.
Une instance RDS préconfigurée pour effectuer la restauration de la sauvegarde native. Pour plus d'informations, reportez-vous à Comment puis-je effectuer des sauvegardes natives d'une instance de base de données Amazon RDS qui exécute SQL Server ?
Python 3.10 installé dans le système local pour déchiffrer les fichiers de sauvegarde.

Résolution

Spécifiez le paramètre de clé AWS KMS @kms_master_key_arn pour démarrer le chiffrement côté client sur la sauvegarde native :

exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

Restaurez la sauvegarde chiffrée AWS KMS dans une autre instance RDS for SQL Server dans la même région AWS et sur le même compte. Dans la commande suivante, spécifiez la même clé AWS KMS que celle que vous avez utilisée pour chiffrer la sauvegarde :

exec msdb.dbo.rds_restore_database @restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx1';

Restaurer une sauvegarde chiffrée AWS KMS dans une autre région avec le même compte

Créez une clé primaire multi-régionale. Pour le type de clé, choisissez Clé symétrique.
Créez des réplica de clés pour la région de destination.

Spécifiez le paramètre de clé AWS KMS @kms_master_key_arn dans la région A pour démarrer une sauvegarde native chiffrée :

exec msdb.dbo.rds_backup_database @source_db_name='database-name',
@s3_arn_to_backup_to='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-1:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

Copiez le fichier de sauvegarde dans le compartiment S3 de la même région. Amazon RDS ne prend pas en charge les compartiments interrégionaux.

Restaurez la sauvegarde chiffrée AWS KMS dans la région B. Spécifiez le même identifiant de clé AWS KMS que celui que vous avez utilisé pour chiffrer la sauvegarde :

exec msdb.dbo.rds_restore_database ;@restore_db_name='database-name',
@s3_arn_to_restore_from='arn:aws:s3:::bucket-name/Filename.bak',
@kms_master_key_arn='arn:aws:kms:us-east-2:account-id:key/xxxxx-xxxxx-xxxxx-xxxxx-xxxxxxxxx2';

Remarque : remplacez us-east-2 par la région de votre clé AWS KMS.

Restaurer une sauvegarde chiffrée AWS KMS entre comptes, entre régions ou dans un environnement sur site

Les trois scénarios suivants nécessitent une solution de contournement pour restaurer la sauvegarde :

**Entre comptes :**Vous devez restaurer la sauvegarde chiffrée de la base de données AWS KMS dans la même région mais sous un compte différent. Vous ne pouvez pas partager les clés AWS KMS entre les comptes Amazon RDS. Par exemple, vous ne pouvez pas chiffrer une sauvegarde dans le compte A avec la clé AWS KMS K1, puis restaurer la sauvegarde dans le compte B avec la même clé.
Entre comptes et entre régions : Vous devez restaurer la sauvegarde chiffrée de la base de données AWS KMS dans une autre région et sur un autre compte. Vous ne pouvez pas partager de clés AWS KMS entre comptes ou utiliser des compartiments entre les régions dans Amazon RDS.
Sur site : Vous devez restaurer la sauvegarde chiffrée de la base de données AWS KMS dans un environnement sur site. Les détails de la clé AWS KMS sont ceux d'une entité externe. Avant de procéder à la restauration, vous devez déchiffrer les fichiers chiffrés avec AWS KMS.

Pour trouver une solution à ces limitations, reportez-vous à Exporter depuis Amazon RDS for SQL Server dans Chiffrement et déchiffrement côté client des sauvegardes Microsoft SQL Server à utiliser avec Amazon RDS.

Informations connexes

Migrer les bases de données SQL Server compatibles TDE vers Amazon RDS for SQL Server

Comment puis-je restaurer un fichier de sauvegarde chiffré ou une sauvegarde Microsoft Azure chiffrée dans RDS for SQL Server à partir d'un environnement local ?

Sujets

Base de données Migration et modernisation Analytique

Balises

Microsoft SQL Server Amazon Relational Database Service

Langue

Français

AWS OFFICIELA mis à jour il y a 6 mois

Aucun commentaire

Contenus pertinents

Connexion base RDS Postgres à Power Bi Pro
GOT
demandé il y a 3 mois
Échec création de base de données Neptune sur AWS
jjso
demandé il y a 8 mois
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un an
Je n'arrive pas à me Connecter sur AWS
Pierre Ndiaye
demandé il y a 10 mois
Création de tables SQL
yannick
demandé il y a 8 mois
Comment puis-je utiliser les clés asymétriques AWS KMS pour chiffrer un fichier à l'aide d'OpenSSL ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment déplacer des utilisateurs de SQL Server d'une instance de RDS pour SQL Server vers une autre ou vers un environnement local à partir de RDS ?
AWS OFFICIELA mis à jour il y a un an
Comment restaurer un fichier de sauvegarde crypté ou une sauvegarde Microsoft Azure cryptée dans RDS pour SQL Server à partir d'un environnement sur site ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment chiffrer des instantanés Amazon RDS à l'aide d'une clé KMS ?
AWS OFFICIELA mis à jour il y a 3 ans