Usar uma chave mestra de serviço com RDS Custom para SQL Server
O RDS Custom para SQL Server comporta o uso de uma chave mestra de serviço (SMK). O RDS Custom mantém a mesma SMK durante toda a vida útil da instância de banco de dados do RDS Custom para SQL Server. Ao manter a mesma SMK, a instância de banco de dados pode usar objetos criptografados com a SMK, como senhas e credenciais de servidores vinculados. Se você usa uma implantação multi-AZ, o RDS Custom também sincroniza e mantém a SMK entre as instâncias de banco de dados primária e secundária.
Tópicos
Disponibilidade de região e versão
O uso de uma SMK é compatível em todas as regiões em que o RDS Custom para SQL Server está disponível, para todas as versões do SQL Server disponíveis no RDS Custom. Para ter mais informações sobre a disponibilidade de versões e regiões do Amazon RDS com o RDS Custom para SQL Server, consulte Regiões e mecanismos de banco de dados compatíveis com o RDS Custom para SQL Server.
Atributos compatíveis
Ao usar uma SMK com RDS Custom para SQL Server, os seguintes recursos são compatíveis:
Transparent Data Encryption (TDE)
Criptografia em nível de coluna
Correspondência de banco de dados
Servidores vinculados
SQL Server Integration Services (SSIS)
Uso de TDE
Uma SMK permite configurar a Transparent Data Encryption (TDE), que criptografa os dados antes de gravá-los no armazenamento e os descriptografa automaticamente quando os dados são lidos no armazenamento. Ao contrário do RDS para SQL Server, configurar a TDE em uma instância de banco de dados do RDS Custom para SQL Server não exige o uso de grupos de opções. Em vez disso, depois de criar um certificado e uma chave de criptografia de banco de dados, é possível executar o seguinte comando para ativar a TDE em nível de banco de dados:
ALTER DATABASE [myDatabase] SET ENCRYPTION ON;
Para ter mais informações sobre como usar a TDE com o RDS Custom para SQL Server, consulte Suporte para criptografia de dados transparente no SQL Server.
Para ter informações detalhadas sobre a TDE no Microsoft SQL Server, consulte Transparent data encryption
Configurar recursos
Para conhecer as etapas detalhadas da configuração de recursos que usam uma SMK com RDS Custom para SQL Server, é possível usar as seguintes publicações no blog do banco de dados do Amazon RDS:
Requisitos e limitações
Ao usar uma SMK com uma instância de banco de dados do RDS Custom para SQL Server, tenha em mente os seguintes requisitos e limitações:
Se você gerar novamente a SMK na instância de banco de dados, deverá criar imediatamente um snapshot de banco de dados manual. Recomendamos evitar a nova geração da SMK, se possível.
É necessário manter backups dos certificados do servidor e das senhas da chave mestra do banco de dados. Se você não mantiver backups deles, poderá haver perda de dados.
Se você configurar o SSIS, deverá usar um documento SSM para unir a instância de banco de dados do RDS Custom para SQL Server ao domínio no caso de computação em escala ou substituição do host.
Quando a TDE ou a criptografia de coluna estão habilitadas, os backups do banco de dados são criptografados automaticamente. Ao realizar uma restauração de snapshot ou uma recuperação para um ponto no tempo, a SMK da instância de banco de dados de origem será restaurada para descriptografar os dados para a restauração, e uma nova SMK será gerado para criptografar novamente os dados na instância restaurada.
Para ter mais informações sobre chaves mestras de serviço no Microsoft SQL Server, consulte SQL Server and Database Encryption Keys
