O Database Migration Service é totalmente compatível com backups criptografados do SQL Server. É possível fazer upload da chave de criptografia para o Google Cloud para que o Database Migration Service possa descriptografar os dados com segurança e carregá-los na instância de destino do Cloud SQL para SQL Server sem comprometer a segurança dos dados.
Se você quiser usar arquivos de backup criptografados, criptografe todos os arquivos de backup (completo, diferencial, registro de transações) que você usa para um banco de dados específico incluído na migração. Ou seja, se você quiser criptografar seu arquivo de backup completo, também precisa criptografar o arquivo de backup diferencial e os arquivos de registro de transações que você usa para esse banco de dados. Todos os arquivos de backup precisam ser criptografados com a mesma chave.
A criptografia de backup é avaliada por banco de dados. Por exemplo, se você migrar
dois bancos de dados da instância de origem do SQL Server: my-business-database
e my-other-database, será possível usar backups criptografados de forma independente para
my-business-database, my-other-database ou ambos os bancos de dados.
Para usar backups criptografados na migração, siga estas etapas:
Faça o backup da instância de origem do SQL Server e use os recursos de criptografia. Salve suas chaves de criptografia em um local seguro para enviar para o Cloud Storage mais tarde. Consulte Criptografia de backup na documentação da Microsoft.
Faça upload das chaves de criptografia para um bucket do Cloud Storage.
Somente na Google Cloud CLI: crie um arquivo de mapeamento no formato JSON para corresponder as chaves de criptografia aos bancos de dados relevantes incluídos no job de migração. O arquivo de mapeamento é uma matriz de objetos que representam mapeamentos para um único banco de dados. Exemplo de arquivo de configuração:
[ { "database": "db1", "encryptionOptions": { "certPath": "Path to certificate 1", "pvkPath": "Path to certificate private key 1", "pvkPassword": "Private key password 1" } }, { "database": "db2", "encryptionOptions": { "certPath": "Path to certificate 2", "pvkPath": "Path to certificate private key 2", "pvkPassword": "Private key password 2" } } ]Em que:
databaseé o identificador do banco de dados. Esse identificador precisa corresponder aos nomes de pasta do banco de dados no Cloud Storage.certPath,pvkPathepvkPasswordsão caminhos do Cloud Storage para os arquivos de certificado no formatogs://BUCKET_NAME/OBJECT_NAME. Por exemplo:gs://my-bucket-name/certificate-folder/certificate-key-file1. Para mais informações, consulte Namespaces de objetos na documentação do Cloud Storage.
Forneça os caminhos do Cloud Storage para suas chaves de criptografia ao criar o job de migração.
Ao criar mais arquivos de backup (o arquivo de backup diferencial ou os arquivos de registro de transações), criptografe-os com a mesma chave de criptografia usada para o backup completo.