Uso de una clave maestra de servicio con RDS Custom para SQL Server
RDS Custom para SQL Server admite el uso de una clave maestra de servicio (SMK). RDS Custom conserva la misma SMK durante toda la vida útil de su instancia de base de datos de RDS Custom para SQL Server. Al conservar la misma SMK, la instancia de base de datos puede utilizar objetos cifrados con la SMK, como contraseñas y credenciales de servidores vinculados. Si utiliza una Implementación multi-AZ, RDS Custom también sincroniza y mantiene la SMK entre la instancia de base de datos principal y la secundaria.
Temas
Disponibilidad en regiones y versiones
El uso de una SMK se admite en todas las regiones en las que está disponible RDS Custom para SQL Server, para todas las versiones de SQL Server disponibles en RDS Custom. Para obtener más información sobre la disponibilidad en versiones y regiones de RDS con Amazon RDS Custom para SQL Server, consulte Regiones y motores de base de datos admitidos para RDS Custom para SQL Server.
Características admitidas
Cuando se utiliza una SMK con RDS Custom para SQL Server, se admiten las siguientes funciones:
Cifrado de datos transparente (TDE)
Cifrado en el nivel de columna
Correo electrónico de base de datos
Servidores vinculados
SQL Server Integration Services (SSIS)
Uso de TDE
Una SMK permite configurar el Cifrado de Datos Transparente (TDE), que cifra los datos antes de que se escriban en el sistema de almacenamiento y los descifra automáticamente cuando se leen desde el almacenamiento. A diferencia de RDS para SQL Server, para configurar el TDE en una instancia de base de datos de RDS Custom para SQL Server no es necesario utilizar grupos de opciones. En su lugar, una vez que haya creado un certificado y una clave de cifrado de base de datos, puede ejecutar el siguiente comando para activar el TDE en el nivel de base de datos:
ALTER DATABASE [myDatabase] SET ENCRYPTION ON;
Para obtener más información sobre el uso de TDE con RDS para SQL Server, consulte Compatibilidad con el Cifrado de datos transparente en SQL Server.
Para obtener información detallada sobre el TDE en Microsoft SQL Server, consulte Cifrado de datos transparente
Configuración de características
Para ver los pasos detallados sobre la configuración de las características que utilizan una SMK con RDS Custom para SQL Server, puede utilizar las siguientes publicaciones del blog de bases de datos de Amazon RDS:
Requisitos y limitaciones
Cuando utilice una SMK con una instancia de base de datos de RDS Custom para SQL Server, tenga en cuenta los siguientes requisitos y limitaciones:
Si vuelve a generar la SMK en la instancia de base de datos, debe realizar inmediatamente una instantánea de base de datos manual. Si es posible, le recomendamos que evite volver a generar la SMK.
Debe mantener copias de seguridad de los certificados del servidor y de las contraseñas de las claves maestras de la base de datos. Si no mantiene copias de seguridad de estas, puede provocar la pérdida de datos.
Si configura SSIS, debe utilizar un documento SSM para unir la instancia de base de datos de RDS Custom para SQL Server al dominio en caso de una sustitución de computación a escala o el host.
Cuando el TDE o el cifrado en el nivel de columna están activados, las copias de seguridad de las bases de datos se cifran automáticamente. Al realizar una restauración de instantáneas o una recuperación puntual, se restaura la SMK de la instancia de base de datos de origen para descifrar los datos de la restauración y se genera una nueva SMK para volver a cifrar los datos de la instancia restaurada.
Para obtener más información sobre las claves maestras de servicio en Microsoft SQL Server, consulte Claves de cifrado de SQL Server y bases de datos
