使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何從內部部署環境還原 RDS for SQL Server 中的加密備份檔案或加密的 Microsoft Azure 備份?

3 分的閱讀內容
0

我想要將加密的備份檔案或加密的 Microsoft Azure 備份在內部部署環境和 Amazon Relational Database Service (Amazon RDS) for Microsoft SQL Server 執行個體之間進行還原。如何使用原生備份與還原功能執行此操作?

簡短描述

備份加密可在 SQL Server 2014 (12.x) 及更新版本中使用。您可以在建立備份時指定加密演算法和加密程式 (憑證或非對稱金鑰)。這樣一來,即可建立一個加密的備份檔案。

**注意:**此功能與 TDE 加密不同。

解決方案

加密備份

**注意:**在開始執行下列解決方案步驟之前,請確認您已建立下列項目:

  • Amazon Simple Storage Service (Amazon S3) 儲存貯體。
  • 使用選項群組中的 TDE 和 SQLSERVER_BACKUP_RESTORE 設定的 Amazon RDS 執行個體。

1.    使用內部部署帳戶中的下列指令碼建立主金鑰

USE Master;
GO
CREATE MASTER KEY ENCRYPTION
BY PASSWORD='InsertStrongPasswordHere';
GO

2.    在內部部署帳戶中建立受主金鑰保護的憑證

CREATE CERTIFICATE TDE_Cert
WITH 
SUBJECT='Database_Encryption';
GO

3.    使用以下指令碼啟動原生備份。

注意:開啟壓縮,以避免在還原至 RDS 時發生問題。

BACKUP DATABASE [TestDB] TO DISK =N'E:\Backup\EncryptedBackupFromOnpremise.bak' WITH COMPRESSION,
ENCRYPTION( ALGORITHM = AES_256, SERVER CERTIFICATE = [TDE_Cert] ), STATS = 10
GO

4.    使用 AWS 管理主控台,將加密的備份上傳到 S3 儲存貯體 tde-db

5.    執行下列命令以還原資料庫:

exec msdb.dbo.rds_restore_database 
@restore_db_name='onpremdb',
@s3_arn_to_restore_from='arn:aws:s3:::tde-db/EncryptedBackupFromOnpremise.bak';

加密的 Microsoft Azure 備份

**注意:**此解決方案涉及與前面章節類似的步驟。不過,加密的備份會啟動至 Microsoft Azure 備份容器,而非本機儲存體。在開始執行下列解決方案步驟之前,請確認您已建立下列項目:

  • Amazon Simple Storage Service (Amazon S3) 儲存貯體。
  • 使用 TDE 和 SQLSERVER_BACKUP_RESTORE 選項群組設定的 RDS 執行個體。
  • 使用憑證設定的內部部署帳戶,用於加密備份。
  • 作用中的 Microsoft Azure 帳戶。

1.    在 Microsoft Azure 中建立儲存體帳戶。如需詳細資訊,請參閱 Microsoft 文件網站上的建立儲存體帳戶

2.    根據共用存取簽章建立憑證。如需詳細資訊,請參閱 Microsoft 文件網站上的為您的儲存體容器建立 SAS 權杖

USE master  
CREATE CREDENTIAL [https://<mystorageaccountname>.blob.core.windows.net/<mystorageaccountcontainername>] 
  -- this name must match the container path, start with https and must not contain a forward slash at the end
WITH IDENTITY='SHARED ACCESS SIGNATURE' 
  -- this is a mandatory string and should not be changed   
 , SECRET = 'sharedaccesssignature'
GO

3.    啟動原生加密備份至 Microsoft Azure 儲存體:

BACKUP DATABASE [TestDB] TO  URL = N'https://backuptestsanketh.blob.core.windows.net/backup/TestDB_backup_2022_09_29_112330.bak' 
WITH  COPY_ONLY, NOFORMAT, NOINIT,  NAME = N'BackupEnc-Full Database Backup', NOSKIP, NOREWIND, NOUNLOAD, COMPRESSION, 
ENCRYPTION(ALGORITHM = AES_128, SERVER CERTIFICATE = [On_PremTDE_Cert]),  STATS = 10
GO

**注意:**Amazon RDS 不支援直接從 Microsoft Azure 儲存體容器還原備份。因此,您必須將備份下載到中介系統。

4.    將備份檔案上傳到 S3 儲存貯體 (tde-db)。

5.    要將私有金鑰和憑證備份及還原至 RDS 執行個體,請遵循解決 "Cannot find server certificate with thumbprint" (找不到含有指紋的伺服器憑證) 錯誤一節中的步驟執行。

6.     先決條件就緒之後,執行下列命令以還原加密的備份:

exec msdb.dbo.rds_restore_database
@restore_db_name='AzureBackupEncrypted',
@s3_arn_to_restore_from='arn:aws:s3:::tde-db/backup/azure-encrypted.bak'

解決 "Cannot find server certificate with thumbprint" (找不到含有指紋的伺服器憑證) 錯誤

在未設定憑證的其他環境中還原加密的備份會導致下列錯誤:

Cannot find server certificate with thumbprint '0xBA01F2AF71C3FB4A92C5F69BDE3EC8DB318D7D0E'

要避免上述錯誤,請執行下列動作:

1.    在要執行原生還原的 AWS 帳戶中建立新的 AWS Key Management Service (KMS) key

2.    產生 AWS KMS 資料金鑰,以啟動憑證的備份:

aws kms generate-data-key --key-id KMS-Key-ID --key-spec AES_256 --region us-west-2

以下是上述命令的範例輸出:

{
"Plaintext": "Gve+VE1JV8aufhDkPKeWceEt+vZaTYZCH25/OLPo+a4=", 
"KeyId": "arn:aws:kms:us-west-2:289799745972:key/eee4d613-4871-4cee-87d8-a54ad8d5251b", 
"CiphertextBlob": "AQIDAHiojOaIcTtQGK4gqEf6QcYuVUutMiW0y52tG63GqOknSgF0ZtnfmfqadzhfWUlRSx15AAAAfjB8BgkqhkiG9w0BBwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQM/U3+BkE/yN5Jf0ckAgEQgDtoG9coTwG7bnPGx3c4hND8LAc4LEPnxd2BLQdJDOjqXU0LgudNfVUw4xNfWy2XCDgmSYV0nHU9EVbwkQ=="
}

3.    在來源執行個體 (內部部署或 EC2 執行個體) 中啟動憑證和私有金鑰的備份:

use master 
BACKUP CERTIFICATE TDE_Cert TO
FILE= 'C:\Program Files\Microsoft SQL Server\MSSQL15.SQL2019\MSSQL\DATA\certificatename.cer'
WITH PRIVATE KEY (
FILE= 'C:\Program Files\Microsoft SQL Server\MSSQL15.SQL2019\MSSQL\DATA\privatekey.pvk',
ENCRYPTION BY PASSWORD='Gve+VE1JV8aufhDkPKeWceEt+vZaTYZCH25/OLPo+a4=')

4.    將備份憑證檔案上傳到 S3 儲存貯體 tde-bkt

5.    將私有金鑰檔案上傳到 S3 儲存貯體 tde-bkt。上傳之後,編輯私有金鑰檔案的中繼資料,然後指定下列值:

  • 金鑰:x-amz-meta-rds-tde-pwd
  • 值:步驟 2 中獲取的 CipertexBlob。

6.    還原 RDS 執行個體中的憑證:

exec
msdb.dbo.rds_restore_tde_certificate
@certificate_name='UserTDECertificate_ec2_tde_cert',
@certificate_file_s3_arn='arn:aws:s3:::tde-bkt/certificatename.cer',
@private_key_file_s3_arn='arn:aws:s3:::tde-bkt/privatekey.pvk',
@kms_password_key_arn='arn:aws:kms:us-west-2:aws-account-id:key/key-id';

7.    執行下列命令以還原資料庫:

exec msdb.dbo.rds_restore_database 
@restore_db_name='onpremdb',
@s3_arn_to_restore_from='arn:aws:s3:::tde-db/EncryptedBackupFromOnpremise.bak';

相關資訊

將啟用 TDE 的 SQL Server 資料庫遷移到 Amazon RDS for SQL Server

如何從內部部署環境還原 RDS for SQL Server 中採用 KMS 加密的備份檔案?

主題
資料庫遷移與現代化分析
標籤
Microsoft SQL ServerAmazon Relational Database Service
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 2 年前
沒有評論

相關內容