RDS Custom for SQL Server에서 Service Master Key 사용
RDS Custom for SQL Server는 Service Master Key(SMK) 사용을 지원합니다. RDS Custom은 RDS Custom for SQL Server DB 인스턴스의 수명 주기 내내 동일한 SMK를 유지합니다. 동일한 SMK를 유지함으로써 DB 인스턴스는 연결된 서버 암호 및 보안 인증 정보와 같이 SMK로 암호화된 객체를 사용할 수 있습니다. 다중 AZ 배포를 사용하는 경우 RDS Custom은 기본 및 보조 DB 인스턴스 간에 SMK를 동기화하고 유지 관리합니다.
리전 및 버전 사용 가능 여부
RDS Custom for SQL Server를 사용하는 모든 리전에서 SMK 사용이 지원되며, RDS Custom에서 제공되는 모든 SQL Server 버전에서 사용할 수 있습니다. RDS Custom for SQL Server에서 사용할 수 있는 Amazon RDS의 버전 및 리전에 대한 자세한 내용은 RDS Custom for SQL Server를 지원하는 리전 및 DB 엔진 섹션을 참조하세요.
지원되는 기능
RDS Custom for SQL Server에서 SMK를 사용하는 경우 다음과 같은 기능이 지원됩니다.
TDE(Transparent Data Encryption)
열 수준 암호화
데이터베이스 메일
연결된 서버
SSIS(SQL Server Integration Services)
TDE 사용
SMK를 사용하면 스토리지에 데이터를 쓰기 전에 데이터를 암호화한 뒤에 데이터를 스토리지에서 읽을 때 다시 자동으로 해독하는 투명한 데이터 암호화(TDE)를 구성할 수 있습니다. RDS for SQL Server와 달리 RDS Custom for SQL Server DB 인스턴스에서 TDE를 구성할 때 옵션 그룹을 사용할 필요가 없습니다. 대신 인증서와 데이터베이스 암호화 키를 생성한 후 다음 명령을 실행하여 데이터베이스 수준에서 TDE를 활성화할 수 있습니다.
ALTER DATABASE [myDatabase] SET ENCRYPTION ON;
RDS for SQL Server와 함께 TDE를 사용하는 방법에 대한 자세한 내용은 SQL Server에서 TDE(투명한 데이터 암호화) 지원 섹션을 확인하세요.
Microsoft SQL Server의 TDE에 대한 자세한 내용은 Microsoft 설명서의 투명한 데이터 암호화
기능 구성
RDS Custom for SQL Server에서 SMK를 사용하는 기능을 구성하는 자세한 단계는 Amazon RDS 데이터베이스 블로그의 다음 게시물을 참조하세요.
요구 사항 및 제한 사항
RDS Custom for SQL Server DB 인스턴스와 함께 SMK를 사용하는 경우 다음과 같은 요구 사항 및 제한 사항을 염두에 두세요.
DB 인스턴스에서 SMK를 재생성하는 경우 즉시 수동 DB 스냅샷을 생성해야 합니다. 가능하면 SMK를 다시 생성하지 않는 것이 좋습니다.
서버 인증서 및 데이터베이스 마스터 키 암호의 백업을 유지해야 합니다. 이러한 백업을 유지 관리하지 않으면 데이터가 손실될 수 있습니다.
SSIS를 구성하는 경우 컴퓨팅 규모 조정 또는 호스트 교체 시 SSM 문서를 사용하여 RDS Custom for SQL Server DB 인스턴스를 도메인에 조인해야 합니다.
TDE 또는 열 암호화가 활성화되면 데이터베이스 백업이 자동으로 암호화됩니다. 스냅샷 복원 또는 특정 시점 복구를 수행하면 소스 DB 인스턴스의 SMK가 복원되어 복원에 필요한 데이터를 해독하고 복원된 인스턴스의 데이터를 다시 암호화하기 위해 새 SMK가 생성됩니다.
Microsoft SQL Server의 Service Master Key에 대한 자세한 내용은 Microsoft 설명서의 SQL Server 및 데이터베이스 암호화 키
