在 Amazon RDS for SQL Server 中启用透明数据加密 - AWS Prescriptive Guidance
摘要先决条件和限制架构工具操作说明相关资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon RDS for SQL Server 中启用透明数据加密

由 Ranga Cherukuri (AWS) 编写

摘要

本示例介绍了如何在 Amazon Relational Database Service (Amazon RDS) 中实现透明数据加密 (TDE),让 SQL Server 对静态数据进行加密。

先决条件和限制

先决条件

  • 一个有效的 Amazon Web Services account

  • Amazon RDS for SQL Server 数据库实例

产品版本

Amazon RDS 当前支持在以下 SQL Server 版本中使用 TDE:

  • SQL Server 2016 企业版

  • SQL Server 2017 企业版

  • SQL Server 2019 标准版和企业版

  • SQL Server 2022 标准版和企业版

有关支持的版本和版本的最新信息,请参阅 Amazon RDS 文档中的 SQL Server 中对透明数据加密的支持

架构

技术堆栈

  • Amazon RDS for SQL Server

架构

用于为 Amazon RDS for SQL Server 数据库启用 TDE 的架构

工具

  • Microsoft SQL Server Management Studio (SSMS) 是用于管理 SQL Server 基础结构的集成环境。它提供了用户界面和一组工具,其中包含与 SQL Server 交互的丰富脚本编辑器。

操作说明

Task描述所需技能

打开 Amazon RDS 控制台。

登录 AWS 管理控制台 并打开 Amazon RDS 控制台

开发人员、数据库管理员

创建选项组。

在导航窗格中,依次选择选项组创建组。选择 sqlserver-ee 为数据库引擎,然后选择引擎版本。

开发人员、数据库管理员

添加透明数据加密选项。

编辑您创建的选项组并添加名为 TRANSPARENT_DATA_ENCRYPTION 的选项。

开发人员、数据库管理员
Task描述所需技能

选择数据库实例。

Amazon RDS 控制台的导航窗格,选择数据库,然后选择要与选项组关联的数据库实例。

开发人员、数据库管理员

将数据库实例与选项组相关联。

选择修改,然后使用选项组设置,将 SQL Server 数据库实例与您之前创建的选项组相关联。

开发人员、数据库管理员

应用更改。

根据需要立即应用更改或在下一个维护时段内应用更改。

开发人员、数据库管理员

获取证书名称。

使用以下查询获取默认证书名称。

USE [master]
GO
SELECT name FROM sys.certificates WHERE name LIKE 'RDSTDECertificate%'
GO
开发人员、数据库管理员
Task描述所需技能

使用 SSMS 连接到 Amazon RDS for SQL Server 数据库实例

有关说明,请参阅 Microsoft 文档中的使用 SSMS

开发人员、数据库管理员

通过默认证书创建数据库加密密钥。

通过之前获得的默认证书名称创建数据库加密密钥。通过以下 T-SQL 查询创建数据库加密密钥。您可指定 AES_256 算法而不是 AES_128。

USE [Databasename]
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE [certificatename]
GO
开发人员、数据库管理员

在数据库启用加密。

通过以下 T-SQL 查询启用数据库加密。

ALTER DATABASE [Database Name]
SET ENCRYPTION ON
GO
开发人员、数据库管理员

检查加密状态。

使用以下 T-SQL 查询检查加密状态。

SELECT DB_NAME(database_id) AS DatabaseName, encryption_state, percent_complete FROM sys.dm_database_encryption_keys
开发人员、数据库管理员

相关资源