翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon RDS for SQL Server で透過的なデータ暗号化を有効にする *Amazon Web Services、Ranga Cherukuri* ## 概要 Amazon Relational Database Service (Amazon RDS) for SQL Server で透過的なデータ暗号化 (TDE) を実装して保管中のデータを暗号化する方法。 ## 前提条件と制限事項 **前提条件** + アクティブな AWS アカウント + Amazon RDS for SQL Server DB インスタンス **製品バージョン** 現在、Amazon RDS は、次の SQL Server バージョンおよびエディションの TDE をサポートしています。 + SQL Server 2016 Enterprise Edition + SQL Server 2017 Enterprise Edition + SQL Server 2019: Standard および Enterprise Edition + SQL Server 2022: Standard および Enterprise Edition サポート対象のバージョンとエディションに関する最新情報については、Amazon RDS ドキュメントの「[SQL Server における透過的なデータ暗号化のサポート](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.TDE.html)」を参照してください。 ## アーキテクチャ **テクノロジースタック** + Amazon RDS for SQL Server アーキテクチャ ![Amazon RDS for SQL Server データベースで TDE を有効にするためのアーキテクチャ](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/f513ea66-fd14-48d3-a576-8eb281e77b21/images/8a121e67-9a90-42d2-988e-3bcab0e6bc35.png) ## ツール + Microsoft SQL Server Management Studio (SSMS) は、SQL Server インフラストラクチャを管理するための統合環境です。SQL Server とやり取りする豊富なスクリプトエディタを備えた、ユーザーインターフェイスとツールグループを備えています。 ## エピック ### Amazon RDS コンソールでオプショングループを作成する | タスク | 説明 | 必要なスキル | | --- | --- | --- | | Amazon RDS コンソールを開きます。 | AWS マネジメントコンソールにサインインして、[Amazon RDS コンソール](https://console.aws.amazon.com/rds/)を開きます。 | 開発者、DBA | | 新しいオプショングループを作成します。 | ナビゲーションペインで、[**オプショングループ**]、[**グループの作成**] の順に選択します。DB エンジンに **sqlserver-ee** を選択し、エンジンのバージョンを選択します。 | 開発者、DBA | | TRANSPARENT\_DATA\_ENCRYPTION オプションを追加します。 | 作成したオプショングループを編集し、`TRANSPARENT_DATA_ENCRYPTION` というオプションを追加します。 | 開発者、DBA | ### オプショングループを DB インスタンスに関連付ける | タスク | 説明 | 必要なスキル | | --- | --- | --- | | DB インスタンスを選択します。 | Amazon RDS コンソールのナビゲーションペインで、**データベース**を選択し、オプショングループに関連付ける DB インスタンスを選択します。 | 開発者、DBA | | オプショングループを DB インスタンスに関連付けます。 | [**変更**] を選択し、[**オプショングループ**] 設定を使用して、以前に作成したオプショングループに SQL Server DB インスタンスを関連付けます。 | 開発者、DBA | | 変更を適用します。 | 変更をすぐに適用するか、次回のメンテナンス期間中に適用するかを指定します。 | 開発者、DBA | | 証明書の名前を取得します。 | 次に示すクエリを使用して、デフォルトの証明書名を取得します。

USE [master]
GO
SELECT name FROM sys.certificates WHERE name LIKE 'RDSTDECertificate%'
GO

| 開発者、DBA | ### データベース暗号化キーを作成します。 | タスク | 説明 | 必要なスキル | | --- | --- | --- | | SSMS を使用して、Amazon RDS for SQL Server DB インスタンスに接続します。 | 手順については、Microsoft ドキュメントの「[SSMS を使用する](https://docs.microsoft.com/en-us/sql/ssms/sql-server-management-studio-ssms)」を参照してください。 | 開発者、DBA | | デフォルトの証明書を使用して、データベース暗号化キーを作成します。 | 以前に取得したデフォルトの証明書名を使用して、データベース暗号化キーを作成します。次に示す T-SQL クエリを使用して、データベース暗号化キーを作成します。AES\_128 の代わりに AES\_256 アルゴリズムを指定できます。　　

USE [Databasename]
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE [certificatename]
GO

| 開発者、DBA | | データベースで暗号化を有効にします。　 | 次に示す T-SQL クエリを使用して、データベース暗号化を有効にします。　

ALTER DATABASE [Database Name]
SET ENCRYPTION ON
GO

| 開発者、DBA | | 暗号化のステータスをチェックします。 | 次に示す T-SQL クエリを使用して、暗号化のステータスを確認します。

SELECT DB_NAME(database_id) AS DatabaseName, encryption_state, percent_complete FROM sys.dm_database_encryption_keys

| 開発者、DBA | ## 関連リソース + 「[SQL サーバーの透過的なデータ暗号化のサポート](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.TDE.html)」 (Amazon RDS ドキュメント) + 「[オプショングループの使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithOptionGroups.html)」 (Amazon RDS ドキュメント) + 「[Amazon RDS DB インスタンスの変更](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)」 (Amazon RDS ドキュメント) + 「[SQL Server の透過的なデータ暗号化](https://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/transparent-data-encryption)」 (Microsoft ドキュメント) + 「[SSMS を使用する](https://docs.microsoft.com/en-us/sql/ssms/sql-server-management-studio-ssms)」 (Microsoft ドキュメント)