RDS Custom for SQL Server でのサービスマスターキーの使用
RDS Custom for SQL Server は、サービスマスターキー (SMK) の使用をサポートしています。RDS Custom は、RDS Custom for SQL Server DB インスタンスの存続期間中、同じ SMK を保持します。同じ SMK を保持することで、DB インスタンスは、リンクされたサーバーのパスワードや認証情報など、その SMK で暗号化されたオブジェクトを使用できます。マルチ AZ 配置を使用する場合も、RDS Custom はプライマリ DB インスタンスとセカンダリ DB インスタンス間で SMK を同期して維持します。
利用可能なリージョンとバージョン
SMK の使用は、RDS Custom for SQL Server が利用可能なすべてのリージョンで、RDS Custom で利用可能なすべての SQL Server バージョンでサポートされています。RDS Custom for SQL Server での Amazon RDS の利用可能なバージョンとリージョンの詳細については、「RDS Custom for SQL Server でサポートされているリージョンと DB エンジン」を参照してください。
サポートされている機能
RDS Custom for SQL Server で SMK を使用する場合、次の機能がサポートされています。
Transparent Data Encryption (TDE)
列レベルの暗号化
データベースメール
リンクサーバー
SQL Server Integration Services (SSIS)
TDE の使用
SMK を使用すると、透過的なデータ暗号化 (TDE) を設定して、データをストレージに書き込む前に暗号化し、データをストレージから読み取るときに自動的に復号できます。RDS for SQL Server とは異なり、RDS Custom for SQL Server DB インスタンスで TDE を設定する場合、オプショングループを使用する必要はありません。代わりに、証明書とデータベース暗号化キーを作成したら、次のコマンドを実行してデータベースレベルで TDE を有効にすることができます。
ALTER DATABASE [myDatabase] SET ENCRYPTION ON;
RDS for SQL Server での TDE の使用の詳細については、「SQL サーバーの透過的なデータの暗号化サポート」を参照してください。
Microsoft SQL Server での TDE の詳細については、Microsoft ドキュメントの「透過的なデータ暗号化
機能の設定
RDS Custom for SQL Server で SMK を使用する機能の詳細な設定手順については、Amazon RDS データベースブログの以下の投稿を参照してください。
要件と制限
RDS Custom for SQL Server DB インスタンスで SMK を使用する場合は、次の要件と制限に注意してください。
DB インスタンスで SMK を再生成する場合は、すぐに手動 DB スナップショットを実行する必要があります。可能であれば、SMK を再生成しないことをお勧めします。
サーバー証明書とデータベースマスターキーパスワードのバックアップを維持する必要があります。これらのバックアップを維持しないと、データが失われる可能性があります。
SSIS を設定する場合は、SSM ドキュメントを使用して、スケールコンピューティングの実行時またはホスト交換時に RDS Custom for SQL Server DB インスタンスをドメインに結合する必要があります。
TDE または列暗号化が有効になっている場合、データベースバックアップは自動的に暗号化されます。スナップショットの復元またはポイントインタイムリカバリを実行すると、ソース DB インスタンスの SMK が復元用のデータを復号するために復元され、復元されたインスタンスのデータを再暗号化するための新しい SMK が生成されます。
Microsoft SQL Server のサービスマスターキーの詳細については、Microsoft ドキュメントの「SQL Server とデータベースの暗号化キー
