本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用服務主金鑰搭配 RDS Custom for SQL Server
RDS Custom for SQL Server 支援使用服務主金鑰 (SMK)。RDS Custom 會在 RDS Custom for SQL Server 資料庫執行個體的整個生命週期中保留相同的 SMK。透過保留相同的 SMK,您的資料庫執行個體可以使用透過 SMK 加密的物件,例如連結的伺服器密碼和憑證。如果您使用多可用區域部署,則 RDS Custom 也會同步及維護主要和次要資料庫執行個體之間的 SMK。
區域和版本可用性
對於 RDS Custom 上提供的所有 SQL Server 版本,可使用 RDS Custom for SQL Server 的所有區域中全都支援使用 SMK。如需 Amazon RDS 搭配 RDS Custom for SQL Server 版本和區域可用性的詳細資訊,請參閱 支援的 RDS Custom for SQL Server 區域和資料庫引擎。
支援的功能
搭配 RDS Custom for SQL Server 使用 SMK 時,支援下列功能:
透明資料加密 (TDE)
資料欄層級加密
資料庫郵件
連結伺服器
SQL Server Integration Services (SSIS)
使用 TDE
SMK 能夠設定透明資料加密 (TDE),在資料寫入儲存體之前將資料加密,並在資料從儲存體讀取時自動將資料解密。與 RDS for SQL Server 不同,在 RDS Custom for SQL Server 資料庫執行個體上設定 TDE 不需要使用選項群組。相反地,建立憑證和資料庫加密金鑰之後,您可以執行下列命令,在資料庫層級開啟 TDE:
ALTER DATABASE [myDatabase] SET ENCRYPTION ON;
如需使用 TDE 搭配 RDS for SQL Server 的詳細資訊,請參閱 支援 SQL Server 的透明資料加密。
如需 Microsoft SQL Server 中 TDE 的詳細資訊,請參閱 Microsoft 文件中的透明資料加密
設定功能
如需設定搭配 RDS Custom for SQL Server 使用 SMK 之功能的詳細步驟,您可以在 Amazon RDS 資料庫部落格中使用下列文章:
要求與限制
搭配 RDS Custom for SQL Server 資料庫執行個體使用 SMK 時,請記住下列需求和限制:
如果您在資料庫執行個體上重新產生 SMK,則應該立即執行手動資料庫快照。如果可能,建議您避免重新產生 SMK。
您必須維護伺服器憑證和資料庫主金鑰密碼的備份。如果您未維護這些備份,可能會導致資料遺失。
如果您設定 SSIS,則應該使用 SSM 文件將 RDS Custom for SQL Server 資料庫執行個體加入到網域,以防擴展運算或主機取代。
啟用 TDE 或資料欄加密時,會自動加密資料庫備份。當您執行快照還原或時間點復原時,會還原來源資料庫執行個體中的 SMK 以解密還原的資料,並產生新的 SMK 以重新加密還原執行個體上的資料。
如需 Microsoft SQL Server 中服務主金鑰的詳細資訊,請參閱 Microsoft 文件中的 SQL Server 和資料庫加密金鑰
