Freigeben über


Konfigurieren von Georeplikation und Sicherungswiederherstellung für transparente Datenverschlüsselung mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Gilt für: Azure SQL-Datenbank

Hinweis

TDE CMK auf Datenbankebene ist für Azure SQL-Datenbank (alle SQL-Datenbank-Editionen) verfügbar. Sie ist nicht für Azure SQL Managed Instance, lokale SQL Server-Instanzen, Azure-VMs und Azure Synapse Analytics (dedizierte SQL-Pools, früher SQL DW) verfügbar.

In diesem Leitfaden werden die Schritte zum Konfigurieren von Georeplikation und Sicherungswiederherstellung für eine Azure SQL-Datenbank-Instanz beschrieben. Die Azure SQL-Datenbank-Instanz wird mit transparenter Datenverschlüsselung (Transparent Data Encryption, TDE) und kundenseitig verwalteten Schlüsseln (Customer-Managed Keys, CMK) auf Datenbankebene konfiguriert, wobei eine benutzerseitig zugewiesene verwaltete Identität für den Zugriff auf Azure Key Vault verwendet wird. Sowohl der Azure Key Vault als auch der logische Server für Azure SQL befinden sich in diesem Leitfaden im selben Microsoft Entra-Mandanten, können sich aber auch in unterschiedlichen Mandanten befinden.

Hinweis

Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.

Voraussetzungen

Hinweis

Derselbe Leitfaden kann angewendet werden, um kundenseitig verwaltete Schlüssel auf Datenbankebene in einem anderen Mandanten zu konfigurieren, indem der Verbundclient-ID-Parameter eingebunden wird. Weitere Informationen finden Sie unter Identitäts- und Schlüsselverwaltung für TDE mit kundenseitig verwalteten Schlüsseln auf Datenbankebene.

Wichtig

Nachdem die Datenbank erstellt oder wiederhergestellt wurde, zeigt das Menü Transparent Data Encryption im Azure-Portal die neue Datenbank mit den gleichen Einstellungen wie die Quelldatenbank an, aber möglicherweise fehlen Schlüssel. In allen Fällen, in denen eine neue Datenbank aus einer Quelldatenbank erstellt wird, kann die Anzahl der Schlüssel, die für eine Zieldatenbank im Azure-Portal in der Liste zusätzliche Datenbankschlüssel angezeigt werden, kleiner als die Anzahl der für eine Quelldatenbank angezeigten Schlüssel sein. Dies liegt daran, dass die Anzahl der angezeigten Schlüssel von den Anforderungen einzelner Features abhängt, die zum Erstellen einer Zieldatenbank verwendet werden. Verwenden Sie zum Auflisten aller verfügbaren Schlüssel für eine neu erstellte Datenbank die verfügbaren APIs unter Anzeigen der Einstellungen für kundenseitig verwaltete Schlüssel auf Datenbankebene für eine Azure SQL-Datenbank.

Erstellen einer Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene als sekundäre Datenbank oder Kopie

Verwenden Sie die folgenden Anweisungen oder Befehle, um ein sekundäres Replikat oder ein Kopierziel einer Azure SQL-Datenbank-Instanz zu erstellen, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Eine benutzerseitig zugewiesene verwaltete Identität ist für das Einrichten eines kundenseitig verwalteten Schlüssels für TDE (Transparent Data Encryption) während der Datenbankerstellung erforderlich.

Erstellen einer Datenbankkopie mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

Führen Sie die folgenden Schritte aus, um eine Datenbank in Azure SQL-Datenbank als Kopie mit kundenseitig verwalteten Schlüsseln auf Datenbankebene zu erstellen:

  1. Wechseln Sie zum Azure-Portal, und navigieren Sie zur Azure SQL-Datenbank, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Rufen Sie die Registerkarte Transparente Datenverschlüsselung des Menüs Datenverschlüsselung auf und überprüfen Sie die Liste der aktuellen Schlüssel, die von der Datenbank verwendet werden.

    Screenshot: Menü „Transparent Data Encryption“ im Azure-Portal für eine Datenbank.

  2. Erstellen Sie eine Kopie der Datenbank, indem Sei im Menü Übersicht der Datenbank Kopieren auswählen.

    Screenshot des Menüs „Datenbank kopieren“ im Azure-Portal.

  3. Das Menü SQL-Datenbank erstellen – Datenbank kopieren wird angezeigt. Verwenden Sie einen anderen Server für diese Datenbank, aber dieselben Einstellungen wie die Datenbank, die Sie kopieren möchten. Wählen Sie im Abschnitt Transparent Data Encryption die Option Transparent Data Encryption konfigurieren aus.

    Screenshot des Menüs „Datenbank kopieren“ im Azure-Portal mit erweitertem Abschnitt „Schlüsselverwaltung für Transparent Data Encryption“.

  4. Wenn das Menü Transparent Data Encryption angezeigt wird, überprüfen Sie die CMK-Einstellungen für diese kopierte Datenbank. Die Einstellungen und Schlüssel sollten mit der gleichen Identität und denselben Schlüsseln aufgefüllt sein, die in der Quelldatenbank verwendet werden.

  5. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und zum Schluss Erstellen, um die Kopie der Datenbank zu erstellen.

Erstellen eines sekundären Replikats mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

  1. Wechseln Sie zum Azure-Portal, und navigieren Sie zur Azure SQL-Datenbank, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Greifen Sie auf das Menü Transparent Data Encryption zu, und überprüfen Sie die Liste der aktuellen Schlüssel, die von der Datenbank verwendet werden.

    Screenshot: Menü „Transparent Data Encryption“ im Azure-Portal für eine Datenbank.

  2. Wählen Sie unter den Datenverwaltungseinstellungen für die Datenbank Replikate aus. Wählen Sie Replikat erstellen aus, um ein sekundäres Replikat der Datenbank zu erstellen.

    Screenshot des Menüs „Datenbankreplikat“ im Azure-Portal.

  3. Das Menü SQL-Datenbank erstellen – Georeplikat wird angezeigt. Verwenden Sie einen sekundärer Server für diese Datenbank, aber dieselben Einstellungen wie für die Datenbank, die Sie replizieren möchten. Wählen Sie im Abschnitt Transparent Data Encryption die Option Transparent Data Encryption konfigurieren aus.

    Screenshot des Menüs „Datenbankreplikat“ im Azure-Portal mit erweitertem Abschnitt „Schlüsselverwaltung für Transparent Data Encryption“.

  4. Wenn das Menü Transparent Data Encryption angezeigt wird, überprüfen Sie die CMK-Einstellungen für dieses Datenbankreplikat. Die Einstellungen und Schlüssel sollten mit der gleichen Identität und denselben Schlüsseln aufgefüllt sein, die in der primären Datenbank verwendet werden.

  5. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und zum Schluss Erstellen, um die Kopie der Datenbank zu erstellen.

Wiederherstellen einer Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene

In diesem Abschnitt werden die Schritte zum Wiederherstellen einer Azure SQL-Datenbank-Instanz beschrieben, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Eine benutzerseitig zugewiesene verwaltete Identität ist für das Einrichten eines kundenseitig verwalteten Schlüssels für TDE (Transparent Data Encryption) während der Datenbankerstellung erforderlich.

Point-in-Time-Wiederherstellung

Im folgenden Abschnitt wird beschrieben, wie Sie eine Datenbank zu einem bestimmten Zeitpunkt wiederherstellen, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Weitere Informationen zur Sicherungswiederherstellung in SQL-Datenbank finden Sie unter Wiederherstellung mit automatisierten Datenbanksicherungen – Azure SQL-Datenbank & SQL Managed Instance.

  1. Wechseln Sie zum Azure-Portal, und navigieren Sie zur Azure SQL-Datenbank, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist, die Sie wiederherstellen möchten.

  2. Um die Datenbank zu einem bestimmten Zeitpunkt wiederherzustellen, wählen Sie im Menü Übersicht der Datenbank Wiederherstellen aus.

    Screenshot des Menüs „Datenbank kopieren“ im Azure-Portal.

  3. Das Menü SQL-Datenbank erstellen – Datenbank wiederherstellen wird angezeigt. Geben Sie die erforderlichen Quell- und Datenbankdetails ein. Wählen Sie im Abschnitt Transparent Data Encryption die Option Transparent Data Encryption konfigurieren aus.

    Screenshot des Menüs „Datenbank wiederherstellen“ im Azure-Portal mit erweitertem Abschnitt „Schlüsselverwaltung für Transparent Data Encryption“.

  4. Wenn das Menü Transparent Data Encryption angezeigt wird, überprüfen Sie die CMK-Einstellungen für diese Datenbank. Die Einstellungen und Schlüssel sollten mit der gleichen Identität und denselben Schlüsseln aufgefüllt sein, die in der Datenbank verwendet werden, die Sie wiederherstellen möchten.

  5. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und zum Schluss Erstellen, um die Kopie der Datenbank zu erstellen.

Wiederherstellen einer gelöschten Datenbank

Im folgenden Abschnitt wird beschrieben, wie Sie eine gelöschte Datenbank wiederherstellen, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert wurde. Weitere Informationen zur Sicherungswiederherstellung in SQL-Datenbank finden Sie unter Wiederherstellung mit automatisierten Datenbanksicherungen – Azure SQL-Datenbank & SQL Managed Instance.

  1. Wechseln Sie zum Azure-Portal, und navigieren Sie zum logischen Server für die gelöschte Datenbank, die Sie wiederherstellen möchten. Wählen Sie unter DatenverwaltungGelöschte Datenbanken aus.

    Screenshot des Menüs „Gelöschte Datenbanken“ im Azure-Portal.

  2. Wählen Sie die gelöschte Datenbank aus, die Sie wiederherstellen möchten.

  3. Das Menü SQL-Datenbank erstellen – Datenbank wiederherstellen wird angezeigt. Geben Sie die erforderlichen Quell- und Datenbankdetails ein. Wählen Sie im Abschnitt Transparent Data Encryption die Option Transparent Data Encryption konfigurieren aus.

    Screenshot des Menüs „Datenbank wiederherstellen“ im Azure-Portal mit erweitertem Abschnitt „Schlüsselverwaltung für Transparent Data Encryption“.

  4. Wenn das Menü Transparent Data Encryption angezeigt wird, konfigurieren Sie die Abschnitte Benutzerseitig zugewiesene verwaltete Identität, Kundenseitig verwalteter Schlüssel und Zusätzliche Datenbankschlüssel für Ihre Datenbank.

  5. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und zum Schluss Erstellen, um die Kopie der Datenbank zu erstellen.

Geowiederherstellung

Im folgenden Abschnitt wird beschrieben, wie Sie eine georeplizierte Sicherung einer Datenbank wiederherstellen, die mit kundenseitig verwalteten Schlüsseln auf Datenbankebene konfiguriert ist. Weitere Informationen zur Sicherungswiederherstellung in SQL-Datenbank finden Sie unter Wiederherstellung mit automatisierten Datenbanksicherungen – Azure SQL-Datenbank & SQL Managed Instance.

  1. Wechseln Sie zum Azure-Portal, und navigieren Sie zum logischen Server, auf dem Sie die Datenbank wiederherstellen möchten.

  2. Wählen Sie im Menü ÜbersichtDatenbank erstellen aus.

  3. Das Menü SQL-Datenbank erstellen wird geöffnet. Füllen Sie die Registerkarten Basic und Netzwerk für Ihre neue Datenbank aus. Wählen Sie unter Zusätzliche Einstellungen die Option Sicherung für den Abschnitt Vorhandene Daten verwenden und dann eine georeplizierte Sicherung aus.

    Screenshot des Menüs „Datenbank erstellen“ im Azure-Portal mit ausgewählter Sicherung für die Datenbank.

  4. Wechseln Sie zur Registerkarte Sicherheit. Wählen Sie im Abschnitt Transparent Data EncryptionTransparent Data Encryption konfigurieren aus.

  5. Wenn das Menü Transparent Data Encryption angezeigt wird, wählen Sie Kundenseitig verwalteter Schlüssel (CMK) auf Datenbankebene aus. Die benutzerseitig zugewiesene verwaltete Identität, der vom Kunden verwaltete Schlüssel und die zusätzlichen Datenbankschlüssel müssen mit der Quelldatenbank übereinstimmen, die Sie wiederherstellen möchten. Stellen Sie sicher, dass die benutzerseitig zugewiesene verwaltete Identität Zugriff auf den Schlüsseltresor hat, der den kundenseitig verwalteten Schlüssel enthält, der in der Sicherung verwendet wurde.

  6. Wählen Sie Anwenden aus, um fortzufahren, dann Überprüfen und Erstellen und schließlich Erstellen, um die Sicherungsdatenbank zu erstellen.

Wichtig

Sicherungen zur Langzeitaufbewahrung (Long Term Backup Retention, LTR) enthalten nicht die Liste der Schlüssel, die von der Sicherung verwendet werden. Zum Wiederherstellen einer LTR-Sicherung müssen alle Schlüssel, die von der Quelldatenbank verwendet wurden, an das LTR-Wiederherstellungsziel übergeben werden.

Hinweis

Die ARM-Vorlage, die im Abschnitt Erstellen einer Azure SQL-Datenbank-Instanz mit kundenseitig verwalteten Schlüsseln auf Datenbankebene als sekundäre Datenbank oder Kopie beschrieben wird, kann zum Wiederherstellen der Datenbank mit einer ARM-Vorlage verwendet werden, indem der createMode-Parameter geändert wird.

Automatische Schlüsselrotationsoption für kopierte oder wiederhergestellte Datenbanken

Neu kopierte oder wiederhergestellte Datenbanken können so konfiguriert werden, dass der kundenseitig verwaltete Schlüssel, der für die transparente Datenverschlüsselung verwendet wird, automatisch rotiert wird. Informationen zum Aktivieren der automatischen Schlüsselrotation im Azure-Portal oder mithilfe von APIs finden Sie unter Automatische Schlüsselrotation auf Datenbankebene.

Nächste Schritte

Lesen Sie die folgende Dokumentation zu verschiedenen CMK-Vorgängen auf Datenbankebene: