Verwenden eines Servicehauptschlüssels mit RDS Custom für SQL Server - Amazon Relational Database Service
Verfügbarkeit von Regionen und VersionenUnterstützte FeaturesVerwenden von TDEKonfigurieren von FeaturesAnforderungen und Einschränkungen

Verwenden eines Servicehauptschlüssels mit RDS Custom für SQL Server

RDS Custom für SQL Server unterstützt die Verwendung eines Servicehauptschlüssels (Service Master Key, SMK). RDS Custom behält während der gesamten Lebensdauer Ihrer DB-Instance von RDS Custom für SQL Server denselben SMK bei. Da derselbe SMK beibehalten wird, kann Ihre DB-Instance Objekte verwenden, die mit dem SMK verschlüsselt sind, z. B. Passwörter und Anmeldeinformationen für verknüpfte Server. Wenn Sie eine Multi-AZ-Bereitstellung verwenden, synchronisiert und verwaltet RDS Custom auch den SMK für primäre und sekundäre DB-Instances.

Verfügbarkeit von Regionen und Versionen

Die Verwendung eines SMK wird in allen Regionen unterstützt, in denen RDS Custom für SQL Server verfügbar ist, und für alle auf RDS Custom verfügbaren SQL Server. Weitere Informationen zur Versions- und Regionsverfügbarkeit von Amazon RDS mit Amazon RDS Custom für SQL Server finden Sie unter Unterstützte Regionen und DB-Engines für RDS Custom für SQL Server.

Unterstützte Features

Wenn Sie einen SMK mit RDS Custom für SQL Server verwenden, werden die folgenden Features unterstützt:

  • Transparent Data Encryption (TDE)

  • Verschlüsselung auf Spaltenebene

  • Datenbank-E-Mail

  • Verknüpfte Server

  • SQL Server Integration Services (SSIS)

Verwenden von TDE

Ein SMK ermöglicht das Konfigurieren von Transparent Data Encryption (TDE), wobei Daten vor dem Speichern verschlüsselt und beim Abrufen aus dem Speicher automatisch entschlüsselt werden. Im Gegensatz zu RDS für SQL Server erfordert das Konfigurieren von TDE auf einer DB-Instance von RDS Custom für SQL Server keine Verwendung von Optionsgruppen. Stattdessen können Sie, sobald Sie ein Zertifikat und einen Datenbankverschlüsselungsschlüssel erstellt haben, den folgenden Befehl ausführen, um TDE auf Datenbankebene zu aktivieren:

ALTER DATABASE [myDatabase] SET ENCRYPTION ON;

Weitere Informationen zum Verwenden von TDE mit RDS Custom für SQL Server finden Sie unter Unterstützung für transparente Datenverschlüsselung in SQL Server.

Ausführliche Informationen zu TDE in Microsoft SQL Server finden Sie in der Microsoft-Dokumentation unter Transparent Data Encryption.

Konfigurieren von Features

Ausführliche Schritte zum Konfigurieren von Features, die einen SMK mit RDS Custom für SQL Server verwenden, finden Sie in den folgenden Beiträgen im Blog zu Amazon-RDS-Datenbanken:

Anforderungen und Einschränkungen

Beachten Sie bei der Verwendung eines SMK mit einer DB-Instance von RDS Custom für SQL Server die folgenden Anforderungen und Einschränkungen:

  • Wenn Sie den SMK auf Ihrer DB-Instance neu generieren, sollten Sie sofort einen manuellen DB-Snapshot durchführen. Wir empfehlen, eine erneute Generierung des SMK nach Möglichkeit zu vermeiden.

  • Sie müssen Backups der Serverzertifikate und der Datenbankhauptschlüsselpasswörter aufbewahren. Wenn Sie keine Backups von diesen erstellen, kann es zu Datenverlust kommen.

  • Wenn Sie SSIS konfigurieren, sollten Sie ein SSM-Dokument verwenden, um die DB-Instance von RDS Custom für SQL Server mit der Domain zu verknüpfen, falls es zu einer Skalierung der Rechenleistung oder einem Austausch des Hosts kommt.

  • Wenn TDE oder Spaltenverschlüsselung aktiviert ist, werden Datenbank-Backups automatisch verschlüsselt. Wenn Sie eine Snapshot-Wiederherstellung oder eine Wiederherstellung auf einen bestimmten Zeitpunkt durchführen, wird der SMK aus der Quell-DB-Instance wiederhergestellt, um die Daten für die Wiederherstellung zu entschlüsseln, und es wird ein neuer SMK generiert, um Daten auf der wiederhergestellten Instance erneut zu verschlüsseln.

Weitere Informationen zu Servicehauptschlüsseln in Microsoft SQL Server finden Sie in der Microsoft-Dokumentation unter SQL Server and Database Encryption Keys.