支援SQL伺服器中的透明資料加密 - Amazon Relational Database Service
開啟 TDE

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

支援SQL伺服器中的透明資料加密

Amazon RDS支援使用透明資料加密 (TDE) 加密執行 Microsoft SQL Server 的資料庫執行個體上儲存的資料。TDE 會在資料寫入儲存體之前自動加密資料,並在資料從儲存體讀取時自動解密資料。

Amazon TDE RDS支援下列SQL伺服器版本和版本:

  • SQL Server 2022 Standard 和 Enterprise Edition

  • SQL Server 2019 Standard 和 Enterprise Edition

  • SQL Server 2017 Enterprise Edition

  • SQL Server 2016 Enterprise Edition

透明的SQL伺服器資料加密透過使用兩層金鑰架構提供加密金鑰管理。從資料庫主要金鑰產生的認證是用來保護資料加密金鑰。資料庫加密金鑰會在使用者資料庫上,實際執行資料加密及解密作業。Amazon RDS 備份和管理資料庫主金鑰和TDE憑證。

透明資料加密係使用於需要加密敏感資料的情況。例如,您可能想要將資料檔案和備份提供給第三方,或處理與安全相關的法律合規性問題。您無法加密SQL伺服器的系統資料庫,例如 modelmaster 資料庫。

透明資料加密的詳細討論超出本指南的範圍,但請確定您了解每一個加密演算法和金鑰的安全優缺點。如需SQL伺服器透明資料加密的相關資訊,請參閱 Microsoft 文件中的透明資料加密 (TDE)

主題

開啟 TDE RDS for SQL Server

若要開啟RDS適用於SQL伺服器資料庫執行個體的透明資料加密,請在與該資料庫執行個體相關聯的RDS選項群組中指定 TDE 選項:

  1. 判斷資料庫執行個體是否已與具有 TDE 選項的選項群組建立關聯。若要檢視與資料庫執行個體相關聯的選項群組,請使用 RDS 主控台、 describe-db-instance AWS CLI 命令或API操作 D escribeDBInstances

  2. 如果資料庫執行個體未與已TDE開啟的選項群組建立關聯,您有兩個選擇。您可以建立選項群組並新增TDE選項,也可以修改相關聯的選項群組來新增。

    注意

    在 RDS 主控台中, 選項名為 TRANSPARENT_DATA_ENCRYPTION。在 AWS CLI 和 RDS 中API,它命名為 TDE

    如需建立或修改選項群組的相關資訊,請參閱 使用選項群組。如需將選項新增至選項群組的相關資訊,請參閱將選項新增至選項群組

  3. 將資料庫執行個體與具有 TDE 選項的選項群組建立關聯。如需使資料庫執行個體與選項群組產生關聯的相關資訊,請參閱修改 Amazon RDS 資料庫執行個體

選項群組考量

TDE 選項是持久性選項。除非所有資料庫執行個體和備份均不再與選項群組相關聯,否則您無法將它從該選項群組中移除。將TDE選項新增至選項群組後,選項群組只能與使用 的資料庫執行個體建立關聯TDE。如需選項群組中持續選項的詳細資訊,請參閱 選項群組概觀

由於 TDE選項是持久性選項,因此您可能會在選項群組與相關聯的資料庫執行個體之間發生衝突。在下列情況中會發生衝突:

  • 目前的選項群組具有 TDE選項,而您將其取代為沒有 TDE 選項的選項群組。

  • 您可以將資料庫快照還原至沒有包含 TDE 選項的選項群組的新資料庫執行個體。如需有關此案例的詳細資訊,請參閱 選項群組的考量

SQL 伺服器效能考量

使用透明資料加密可能會影響SQL伺服器資料庫執行個體的效能。

如果資料庫位在至少有一個已加密資料庫的資料庫執行個體上,則未加密資料庫的效能會降低。因此,建議您將已加密和未加密資料庫保存在獨立的資料庫執行個體上。