web-dev-qa-db-ja.com

いつサービスマスターキーをバックアップする必要がありますか?

透過的データ暗号化に関するドキュメントとホワイトペーパーを読んでいます。一部のドキュメントには、サービスマスターキーのバックアップについても記載されています(説明のために、データベースマスターキーについては触れていません)。サービスマスターキーを使用せずに、TDE暗号化を使用してデータベースをサーバーA(バックアップ)からサーバーB(復元)にバックアップ/復元できたので、これが必要な理由を正確に理解していません。

サービスマスターキーを復元する必要があるのはどのシナリオですか?

sql-serverencryptiontransparent-data-encryption
14
gsharp

SQLサービスのマスターキーについて話している場合は、本当にそれを復元する必要があるというまれな状況があります。

SMKを復元する必要があるいくつかのシナリオを考えています...

  1. どういうわけかそれは破損しました。

  2. SQLサーバーを再構築し、システムデータベースを含むすべてのデータベースをバックアップから復元することを計画しています。通常、この場合、同じSQLサービスアカウントとパスワードを使用している場合は、SMKを復元する必要がない場合もあります。

TDEでは、SMKを復元する必要はありません。誰もが言ったように、証明書と秘密鍵が必要です。バックアップから証明書を作成するときと同じように、データベースマスターキーが同じである必要はありません。宛先マシンのDMKによって暗号化されます。

7
Arijit

TDEデータベースを新しいインスタンスに移動する場合、適切な証明書(または非対称キー)が宛先masterのデータベースにもあることを確認する必要があります。これに失敗すると、次のエラーが表示されます。

メッセージ33111、レベル16、状態3、行2拇印が「0xA085414434DB4A36B29 ..................」のサーバー証明書が見つかりません。

TDE対応のデータベースバックアップと共に移動する必要があるのはサービスマスターキーではありませんが、証明書になります。たとえば、masterMyTDECertという名前の証明書を使用してDEK(データベース暗号化キー)を作成したとします。宛先インスタンスにその証明書がないと、データベースを復元できません。

2
Thomas Stringer