O Database Migration Service é totalmente compatível com backups criptografados do SQL Server. É possível fazer upload da chave de criptografia para Google Cloud para que o Database Migration Service possa descriptografar seus dados com segurança e carregá-los na instância de destino do Cloud SQL para SQL Server sem comprometer a segurança dos dados.
Se você quiser usar arquivos de backup criptografados, criptografe todos os arquivos de backup (completo, diferencial, registro de transações) usados para um banco de dados específico incluído na migração. Ou seja, se você quiser criptografar o arquivo de backup completo, também será necessário criptografar o arquivo de backup diferencial e os arquivos de registro de transações usados para esse banco de dados. Todos os arquivos de backup precisam ser criptografados com a mesma chave.
A criptografia de backup é avaliada por banco de dados. Por exemplo, se você migrar
dois bancos de dados da sua instância de origem do SQL Server: my-business-database
e my-other-database, será possível usar backups criptografados de forma independente para
my-business-database, my-other-database ou ambos os bancos de dados.
Para usar backups criptografados na migração, siga estas etapas:
Faça o backup da instância de origem do SQL Server e use os recursos de criptografia. Salve as chaves de criptografia em um local seguro para fazer upload delas depois para o Cloud Storage. Consulte Criptografia de backup na documentação da Microsoft.
Faça upload das chaves de criptografia para um bucket do Cloud Storage.
Somente Google Cloud CLI: crie um arquivo de mapeamento no formato JSON para corresponder às chaves de criptografia com os bancos de dados relevantes incluídos no job de migração. O arquivo de mapeamento é uma matriz de objetos, cada um representando mapeamentos para um único banco de dados. Exemplo de arquivo de configuração:
[ { "database": "db1", "encryptionOptions": { "certPath": "Path to certificate 1", "pvkPath": "Path to certificate private key 1", "pvkPassword": "Private key password 1" } }, { "database": "db2", "encryptionOptions": { "certPath": "Path to certificate 2", "pvkPath": "Path to certificate private key 2", "pvkPassword": "Private key password 2" } } ]Em que:
databaseé o identificador do banco de dados. Esse identificador precisa corresponder aos nomes das pastas de banco de dados no Cloud Storage.certPath,pvkPathepvkPasswordsão caminhos do Cloud Storage para os arquivos de certificado no formatogs://BUCKET_NAME/OBJECT_NAME. Por exemplo:gs://my-bucket-name/certificate-folder/certificate-key-file1. Para mais informações, consulte Namespaces de objetos na documentação do Cloud Storage.
Forneça os caminhos do Cloud Storage para as chaves de criptografia ao criar o job de migração.
Ao criar mais arquivos de backup (o arquivo de backup diferencial ou os arquivos de registro de transações), criptografe-os com a mesma chave de criptografia usada para o backup completo.