Azure SQL托管实例上的TDE

Question

默认情况下，在MI上不启用TDE。我在db属性中将加密设置为true，从而手动启用了TDE。数据库的加密花费了大约20分钟，以下是来自sys.dm_database_encryption_keys表的输出。

1. 如何验证在托管实例中是否启用了TDE？由于Azure既不提供对MI的自动备份的访问，我也不能在MI中打开TDE时手动进行备份。
2. 希望访问自动备份(7天备份功能)并验证文件是否可以恢复。提供程序。
3. 希望备份在我的DB上启用TDE时被加密，那么这些备份怎么能被解密，因为Azure没有提供任何密钥来解密。

Answer 1

使用以下查询查找加密数据库：

select name, is_encrypted from sys.databases

您不能直接访问备份文件；但是，可以运行实时恢复以验证以前的任何备份都可以还原为新数据库(每个数据库在门户上都有还原按钮，或者可以使用PowerShell - https://blogs.msdn.microsoft.com/sqlserverstorageengine/2018/06/28/point-in-time-restore-of-a-database-on-azure-sql-managed-instance-using-azurerm-sql-powershell-library/)。

时间点恢复是恢复加密的自动备份的唯一方法，Azure在恢复时自动取消备份。您无法在server上从MI还原备份，因为MI总是高于SQL服务器的版本。因此，即使您解除备份文件的崩溃，您也不能在Server上使用它，而且如果您想在托管实例上还原它，MI也会找到密钥。