Support pour le chiffrement transparent des données sur le SQL serveur - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Support pour le chiffrement transparent des données sur le SQL serveur

Amazon RDS prend en charge l'utilisation de Transparent Data Encryption (TDE) pour chiffrer les données stockées sur vos instances de base de données exécutant Microsoft SQL Server. TDEchiffre automatiquement les données avant leur écriture dans le stockage et déchiffre automatiquement les données lorsqu'elles sont lues depuis le stockage.

Amazon RDS prend en TDE charge les versions et éditions de SQL serveur suivantes :

  • SQLÉditions Server 2022 Standard et Enterprise

  • SQLÉditions Standard et Enterprise de Server 2019

  • SQLServer 2017 Édition Enterprise

  • SQLServer 2016 Édition Enterprise

Transparent Data Encryption for SQL Server permet de gérer les clés de chiffrement en utilisant une architecture de clé à deux niveaux. Un certificat, qui est généré à partir de la clé principale de la base de données, permet de protéger les clés de chiffrement des données. La clé de chiffrement de la base de données exécute le chiffrement et le déchiffrement des données sur la base de données utilisateur. Amazon RDS sauvegarde et gère la clé principale de la base de données et le TDE certificat.

La fonction TDE (Transparent Data Encryption) est utilisée dans les scénarios où vous devez chiffrer des données sensibles. Par exemple, vous pouvez souhaiter fournir des fichiers de données et des sauvegardes à un tiers, ou résoudre des problèmes de conformité réglementaire liés à la sécurité. Vous ne pouvez pas chiffrer les bases de données système pour le SQL serveur, telles que les master bases de données model or.

Ce guide n'a pas vocation à offrir une présentation détaillée du chiffrement TDE, mais assurez-vous de bien comprendre les points forts et les points faibles de chaque algorithme et de chaque clé. Pour plus d'informations sur le chiffrement transparent des données pour le SQL serveur, voir Transparent Data Encryption (TDE) dans la documentation Microsoft.

Activation de TDE for RDS for SQL Server

Pour activer le chiffrement transparent des données RDS pour une instance de base de données pour SQL serveur, spécifiez l'TDEoption dans un groupe d'RDSoptions associé à cette instance de base de données :

  1. Déterminez si votre instance de base de données est déjà associée à un groupe d'options disposant de cette TDE option. Pour afficher le groupe d'options auquel une instance de base de données est associée, utilisez la RDS console, la describe-db-instance AWS CLI commande ou l'APIopération escribeDBInstancesD.

  2. Si l'instance de base de données n'est pas associée à un groupe d'options TDE activé, deux choix s'offrent à vous. Vous pouvez créer un groupe d'options et ajouter l'TDEoption, ou vous pouvez modifier le groupe d'options associé pour l'ajouter.

    Note

    Dans la RDS console, l'option est nomméeTRANSPARENT_DATA_ENCRYPTION. Dans le AWS CLI pays RDSAPI, il est nomméTDE.

    Pour plus d'informations sur la création ou la modification d'un groupe d'options, consultez Utilisation de groupes d'options. Pour de plus amples informations sur l'ajout d'une option à un groupe d'options, veuillez consulter Ajout d'une option à un groupe d'options.

  3. Associez l'instance de base de données au groupe d'options qui possède l'TDEoption. Pour plus d'informations sur l'association d'une instance de base de données à un groupe d'options, consultez Modification d'une RDS instance de base de données Amazon.

Considérations relatives au groupe d'options

Il s'agit d'une option persistante. TDE Vous ne pouvez pas la supprimer d'un groupe d'options tant que toutes les instances de base de données et les sauvegardes sont associées au groupe d'options. Une fois que vous avez ajouté l'TDEoption à un groupe d'options, celui-ci ne peut être associé qu'aux instances de base de données qui utilisentTDE. Pour plus d'informations sur les options persistantes dans un groupe d'options, consultez Présentation des groupes d'options.

Comme l'TDEoption est une option persistante, il peut y avoir un conflit entre le groupe d'options et une instance de base de données associée. Un conflit peut se produire dans les cas suivants :

  • Le groupe d'options actuel contient l'TDEoption, et vous le remplacez par un groupe d'options qui n'en possède pas. TDE

  • Vous effectuez une restauration à partir d'un instantané de base de données vers une nouvelle instance de base de données qui ne possède pas de groupe d'options contenant l'TDEoption. Pour plus d'informations sur ce scénario, consultez Considérations relatives aux groupes d'options.

SQLConsidérations relatives aux performances du serveur

L'utilisation du chiffrement transparent des données peut affecter les performances d'une instance de base de données de SQL serveur.

Les performances des bases de données non chiffrées peuvent aussi être dégradées si les bases de données se trouvent sur une instance de base de données qui possède au moins une base de données chiffrée. En conséquence, il est recommandé de garder les bases de données chiffrées et les bases de données non chiffrées sur des instances de base de données distinctes.