在 RDS Custom for SQL Server 中使用服务主密钥
RDS Custom for SQL Server 支持使用服务主密钥(SMK)。RDS Custom 在 RDS Custom for SQL Server 数据库实例的整个生命周期中保留相同的 SMK。通过保留相同的 SMK,您的数据库实例可以使用通过 SMK 加密的对象,例如链接服务器密码和凭证。如果您使用多可用区部署,RDS Custom 还会在主和辅助数据库实例之间同步和维护 SMK。
区域和版本可用性
对于 RDS Custom 上提供的所有 SQL Server 版本,在所有提供 RDS Custom for SQL Server 的区域中都支持使用 SMK。有关适用于 RDS Custom for SQL Server 的 Amazon RDS 的版本和区域可用性的更多信息,请参阅支持 RDS Custom for SQL Server 的区域和数据库引擎。
支持的特征
将 SMK 与 RDS Custom for SQL Server 一起使用时,支持以下功能:
透明数据加密 (TDE)
列级加密
数据库邮件
链接服务器
SQL Server Integration Services (SSIS)
使用 TDE
SMK 支持配置透明数据加密(TDE),这种加密在数据写入存储之前对数据进行加密,并在从存储读取数据时自动解密数据。与 RDS for SQL Server 不同,在 RDS Custom for SQL Server 数据库实例上配置 TDE 不需要使用选项组。相反,创建证书和数据库加密密钥后,可以运行以下命令在数据库级别开启 TDE:
ALTER DATABASE [myDatabase] SET ENCRYPTION ON;
有关将 TDE 与 RDS for SQL Server 一起使用的更多信息,请参阅SQL Server 中的透明数据加密支持。
有关 Microsoft SQL Server 中的 TDE 的详细信息,请参阅 Microsoft 文档中的透明数据加密
配置功能
有关配置将 SMK 和 RDS Custom for SQL Server 结合使用的功能的详细步骤,您可以参阅 Amazon RDS 数据库博客中的以下博客:
要求和限制
在 RDS Custom for SQL Server 数据库实例中使用 SMK 时,请记住以下要求和限制:
如果您在数据库实例上重新生成 SMK,则应立即执行手动数据库快照。我们建议尽可能避免重新生成 SMK。
必须保留服务器证书和数据库主密钥密码的备份。如果不维护这些内容的备份,可能会导致数据丢失。
如果您配置 SSIS,则应使用 SSM 文档将 RDS Custom for SQL Server 数据库实例加入到域中,以防扩展计算或主机更换。
启用 TDE 或列加密后,数据库备份会自动加密。当您执行快照还原或时间点恢复时,将还原源数据库实例的 SMK 以解密进行还原的数据,并生成一个新的 SMK 来重新加密已还原实例上的数据。
有关 Microsoft SQL Server 中服务主密钥的更多信息,请参阅 Microsoft 文档中的 SQL Server 和数据库加密密钥
