本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用服務主金鑰搭配 RDS Custom for SQL Server
<a name="custom-sqlserver-features.smk"></a>

RDS Custom for SQL Server 支援使用服務主金鑰 (SMK)。RDS Custom 會在 RDS Custom for SQL Server 資料庫執行個體的整個生命週期中保留相同的 SMK。透過保留相同的 SMK，您的資料庫執行個體可以使用透過 SMK 加密的物件，例如連結的伺服器密碼和憑證。如果您使用多可用區域部署，則 RDS Custom 也會同步及維護主要和次要資料庫執行個體之間的 SMK。

**Topics**
+ [區域和版本可用性](#custom-sqlserver-features.smk.list)
+ [支援的功能](#custom-sqlserver-features.smk.supportedfeatures)
+ [使用 TDE](#custom-sqlserver-features.smk.tde)
+ [設定功能](#custom-sqlserver-features.smk.configuringfeatures)
+ [要求與限制](#custom-sqlserver-features.smk.reqlimits)

## 區域和版本可用性
<a name="custom-sqlserver-features.smk.list"></a>

對於 RDS Custom 上提供的所有 SQL Server 版本，可使用 RDS Custom for SQL Server 的所有區域中全都支援使用 SMK。如需 Amazon RDS 搭配 RDS Custom for SQL Server 版本和區域可用性的詳細資訊，請參閱 [支援的 RDS Custom for SQL Server 區域和資料庫引擎](Concepts.RDS_Fea_Regions_DB-eng.Feature.RDSCustom.md#Concepts.RDS_Fea_Regions_DB-eng.Feature.RDSCustom.sq)。

## 支援的功能
<a name="custom-sqlserver-features.smk.supportedfeatures"></a>

搭配 RDS Custom for SQL Server 使用 SMK 時，支援下列功能：
+ 透明資料加密 (TDE)
+ 資料欄層級加密
+ 資料庫郵件
+ 連結伺服器
+ SQL Server Integration Services (SSIS)

## 使用 TDE
<a name="custom-sqlserver-features.smk.tde"></a>

SMK 能夠設定透明資料加密 (TDE)，在資料寫入儲存體之前將資料加密，並在資料從儲存體讀取時自動將資料解密。與 RDS for SQL Server 不同，在 RDS Custom for SQL Server 資料庫執行個體上設定 TDE 不需要使用選項群組。相反地，建立憑證和資料庫加密金鑰之後，您可以執行下列命令，在資料庫層級開啟 TDE：

```
ALTER DATABASE [myDatabase] SET ENCRYPTION ON;
```

 如需使用 TDE 搭配 RDS for SQL Server 的詳細資訊，請參閱 [支援 SQL Server 的透明資料加密](Appendix.SQLServer.Options.TDE.md)。

 如需 Microsoft SQL Server 中 TDE 的詳細資訊，請參閱 Microsoft 文件中的[透明資料加密](https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/transparent-data-encryption?view=sql-server-ver15)。

## 設定功能
<a name="custom-sqlserver-features.smk.configuringfeatures"></a>

如需設定搭配 RDS Custom for SQL Server 使用 SMK 之功能的詳細步驟，您可以在 Amazon RDS 資料庫部落格中使用下列文章：
+ 連結的伺服器：[在 RDS Custom for SQL Server 上設定連結的伺服器](https://aws.amazon.com/blogs/database/configure-linked-servers-on-amazon-rds-custom-for-sql-server/)。
+ SSIS：[將 SSIS 套件遷移至 RDS Custom for SQL Server](https://aws.amazon.com/blogs/database/migrate-microsoft-sql-server-ssis-packages-to-amazon-rds-custom-for-sql-server/)。
+ TDE：[在 RDS Custom for SQL Server 上使用 TDE 來保護您的資料](https://aws.amazon.com/blogs/database/secure-your-data-at-rest-on-amazon-rds-custom-for-sql-server-using-transparent-data-encryption-tde-or-column-level-encryption-cle/)。

## 要求與限制
<a name="custom-sqlserver-features.smk.reqlimits"></a>

搭配 RDS Custom for SQL Server 資料庫執行個體使用 SMK 時，請記住下列需求和限制：
+ 如果您在資料庫執行個體上重新產生 SMK，則應該立即執行手動資料庫快照。如果可能，建議您避免重新產生 SMK。
+ 您必須維護伺服器憑證和資料庫主金鑰密碼的備份。如果您未維護這些備份，可能會導致資料遺失。
+ 如果您設定 SSIS，則應該使用 SSM 文件將 RDS Custom for SQL Server 資料庫執行個體加入到網域，以防擴展運算或主機取代。
+ 啟用 TDE 或資料欄加密時，會自動加密資料庫備份。當您執行快照還原或時間點復原時，會還原來源資料庫執行個體中的 SMK 以解密還原的資料，並產生新的 SMK 以重新加密還原執行個體上的資料。

 如需 Microsoft SQL Server 中服務主金鑰的詳細資訊，請參閱 Microsoft 文件中的 [SQL Server 和資料庫加密金鑰](https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/sql-server-and-database-encryption-keys-database-engine?view=sql-server-ver15)。