Utilizzo di una chiave master del servizio con RDS Custom per SQL Server
RDS Custom per SQL Server supporta l’utilizzo di una chiave master del servizio (SMK). RDS Custom mantiene la stessa chiave SMK per tutta la durata dell’istanza database RDS Custom per SQL Server. Mantenendo la stessa chiave SMK, l’istanza database può utilizzare oggetti crittografati con la chiave SMK, come le password e le credenziali dei server collegati. Se si utilizza un’implementazione Multi-AZ, RDS Custom sincronizza e mantiene la chiave SMK tra le istanze database primarie e secondarie.
Argomenti
Disponibilità di regioni e versioni
L’utilizzo di una chiave SMK è supportato in tutte le Regioni in cui è disponibile RDS Custom per SQL Server, per tutte le versioni di SQL Server disponibili su RDS Custom. Per ulteriori informazioni sulla disponibilità di versioni e Regioni di Amazon RDS con RDS Custom per SQL Server, consulta Regioni e motori di database supportati per RDS Custom per SQL Server.
Funzionalità supportate
Quando si utilizza una chiave SMK con RDS Custom per SQL Server, sono supportate le seguenti funzionalità:
Transparent Data Encryption (TDE)
Crittografia a livello di colonna
Posta elettronica database
Server collegati
SQL Server Integration Services (SSIS)
Uso di TDE
Una chiave SMK consente di configurare Transparent Data Encryption (TDE), che crittografa i dei dati prima che vengano scritti nell’archiviazione e decrittografa automaticamente i dati durante la lettura dall’archiviazione. A differenza di RDS per SQL Server, la configurazione di TDE su un’istanza database RDS Custom per SQL Server non richiede l’utilizzo di gruppi di opzioni. Invece, dopo aver creato un certificato e una chiave di crittografia del database, è possibile eseguire il seguente comando per attivare TDE a livello di database:
ALTER DATABASE [myDatabase] SET ENCRYPTION ON;
Per ulteriori informazioni sull’utilizzo di TDE con RDS per SQL Server, consulta Supporto per Transparent Data Encryption in SQL Server.
Per informazioni dettagliate su TDE in Microsoft SQL Server, consulta Transparent data encryption
Configurazione delle funzionalità
Per le procedure dettagliate sulla configurazione delle funzionalità che utilizzano una chiave SMK con RDS Custom per SQL Server, puoi utilizzare i seguenti post nel blog sui database Amazon RDS:
Requisiti e limitazioni
Quando utilizzi una chiave SMK con un’istanza database RDS Custom per SQL Server, tieni presenti i requisiti e le limitazioni seguenti:
Se rigeneri la chiave SMK sulla tua istanza database, devi eseguire immediatamente uno snapshot di database manuale. È consigliabile evitare di rigenerare la chiave SMK, se possibile.
È necessario conservare i backup dei certificati del server e delle password delle chiavi master del database. Se non conservi questi backup, è possibile che si verifichi una perdita di dati.
Se configuri SSIS, devi utilizzare un documento SSM per aggiungere l’istanza database RDS Custom per SQL Server al dominio in caso di calcolo del dimensionamento o di sostituzione dell’host.
Quando è abilitata la crittografia TDE o a colonne, i backup del database vengono crittografati automaticamente. Quando si esegue un ripristino di snapshot o un recupero point-in-time, viene ripristinata la chiave SMK dall’istanza database di origine per decrittografare i dati per il ripristino e viene generata una nuova chiave SMK per crittografare nuovamente i dati sull’istanza ripristinata.
Per ulteriori informazioni sulle chiavi master del servizio in Microsoft SQL Server, consulta SQL Server and Database Encryption Keys
