# Usar uma chave mestra de serviço com RDS Custom para SQL Server
<a name="custom-sqlserver-features.smk"></a>

O RDS Custom para SQL Server comporta o uso de uma chave mestra de serviço (SMK). O RDS Custom mantém a mesma SMK durante toda a vida útil da instância de banco de dados do RDS Custom para SQL Server. Ao manter a mesma SMK, a instância de banco de dados pode usar objetos criptografados com a SMK, como senhas e credenciais de servidores vinculados. Se você usa uma implantação multi-AZ, o RDS Custom também sincroniza e mantém a SMK entre as instâncias de banco de dados primária e secundária.

**Topics**
+ [Disponibilidade de região e versão](#custom-sqlserver-features.smk.list)
+ [Atributos compatíveis](#custom-sqlserver-features.smk.supportedfeatures)
+ [Uso de TDE](#custom-sqlserver-features.smk.tde)
+ [Configurar recursos](#custom-sqlserver-features.smk.configuringfeatures)
+ [Requisitos e limitações](#custom-sqlserver-features.smk.reqlimits)

## Disponibilidade de região e versão
<a name="custom-sqlserver-features.smk.list"></a>

O uso de uma SMK é compatível em todas as regiões em que o RDS Custom para SQL Server está disponível, para todas as versões do SQL Server disponíveis no RDS Custom. Para ter mais informações sobre a disponibilidade de versões e regiões do Amazon RDS com o RDS Custom para SQL Server, consulte [Regiões e mecanismos de banco de dados compatíveis com o RDS Custom para SQL Server](Concepts.RDS_Fea_Regions_DB-eng.Feature.RDSCustom.md#Concepts.RDS_Fea_Regions_DB-eng.Feature.RDSCustom.sq).

## Atributos compatíveis
<a name="custom-sqlserver-features.smk.supportedfeatures"></a>

Ao usar uma SMK com RDS Custom para SQL Server, os seguintes recursos são compatíveis:
+ Transparent Data Encryption (TDE)
+ Criptografia em nível de coluna
+ Correspondência de banco de dados
+ Servidores vinculados
+ SQL Server Integration Services (SSIS)

## Uso de TDE
<a name="custom-sqlserver-features.smk.tde"></a>

Uma SMK permite configurar a Transparent Data Encryption (TDE), que criptografa os dados antes de gravá-los no armazenamento e os descriptografa automaticamente quando os dados são lidos no armazenamento. Ao contrário do RDS para SQL Server, configurar a TDE em uma instância de banco de dados do RDS Custom para SQL Server não exige o uso de grupos de opções. Em vez disso, depois de criar um certificado e uma chave de criptografia de banco de dados, é possível executar o seguinte comando para ativar a TDE em nível de banco de dados:

```
ALTER DATABASE [myDatabase] SET ENCRYPTION ON;
```

 Para ter mais informações sobre como usar a TDE com o RDS Custom para SQL Server, consulte [Suporte para criptografia de dados transparente no SQL Server](Appendix.SQLServer.Options.TDE.md).

 Para ter informações detalhadas sobre a TDE no Microsoft SQL Server, consulte [Transparent data encryption](https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/transparent-data-encryption?view=sql-server-ver15) na documentação da Microsoft. 

## Configurar recursos
<a name="custom-sqlserver-features.smk.configuringfeatures"></a>

Para conhecer as etapas detalhadas da configuração de recursos que usam uma SMK com RDS Custom para SQL Server, é possível usar as seguintes publicações no blog do banco de dados do Amazon RDS:
+ Linked servers: [Configuring linked servers on RDS Custom for SQL Server](https://aws.amazon.com/blogs/database/configure-linked-servers-on-amazon-rds-custom-for-sql-server/).
+ SSIS: [Migrate SSIS packages to RDS Custom for SQL Server](https://aws.amazon.com/blogs/database/migrate-microsoft-sql-server-ssis-packages-to-amazon-rds-custom-for-sql-server/).
+ TDE: [Secure your data using TDE on RDS Custom for SQL Server](https://aws.amazon.com/blogs/database/secure-your-data-at-rest-on-amazon-rds-custom-for-sql-server-using-transparent-data-encryption-tde-or-column-level-encryption-cle/).

## Requisitos e limitações
<a name="custom-sqlserver-features.smk.reqlimits"></a>

Ao usar uma SMK com uma instância de banco de dados do RDS Custom para SQL Server, tenha em mente os seguintes requisitos e limitações:
+ Se você gerar novamente a SMK na instância de banco de dados, deverá criar imediatamente um snapshot de banco de dados manual. Recomendamos evitar a nova geração da SMK, se possível.
+ É necessário manter backups dos certificados do servidor e das senhas da chave mestra do banco de dados. Se você não mantiver backups deles, poderá haver perda de dados.
+ Se você configurar o SSIS, deverá usar um documento SSM para unir a instância de banco de dados do RDS Custom para SQL Server ao domínio no caso de computação em escala ou substituição do host.
+ Quando a TDE ou a criptografia de coluna estão habilitadas, os backups do banco de dados são criptografados automaticamente. Ao realizar uma restauração de snapshot ou uma recuperação para um ponto no tempo, a SMK da instância de banco de dados de origem será restaurada para descriptografar os dados para a restauração, e uma nova SMK será gerado para criptografar novamente os dados na instância restaurada.

 Para ter mais informações sobre chaves mestras de serviço no Microsoft SQL Server, consulte [SQL Server and Database Encryption Keys](https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/sql-server-and-database-encryption-keys-database-engine?view=sql-server-ver15) na documentação da Microsoft.