Support für transparente Datenverschlüsselung im SQL Server - Amazon Relational Database Service
Aktivieren von TDE

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Support für transparente Datenverschlüsselung im SQL Server

Amazon RDS unterstützt die Verwendung von Transparent Data Encryption (TDE) zur Verschlüsselung von gespeicherten Daten auf Ihren DB-Instances, auf denen Microsoft SQL Server ausgeführt wird. TDEverschlüsselt Daten automatisch, bevor sie in den Speicher geschrieben werden, und entschlüsselt Daten automatisch, wenn die Daten aus dem Speicher gelesen werden.

Amazon RDS unterstützt TDE die folgenden SQL Serverversionen und -Editionen:

  • SQLServer 2022 Standard- und Enterprise-Editionen

  • SQLServer 2019 Standard- und Enterprise-Editionen

  • SQLServer 2017 Enterprise Edition

  • SQLServer 2016 Enterprise Edition

Transparent Data Encryption for SQL Server ermöglicht die Verwaltung von Verschlüsselungsschlüsseln mithilfe einer zweistufigen Schlüsselarchitektur. Zum Schutz der Datenverschlüsselungsschlüssel wird ein Zertifikat verwendet, das aus dem Datenbank-Hauptschlüssel generiert wird. Der Datenbankverschlüsselungsschlüssel führt die eigentliche Verschlüsselung und Entschlüsselung der Daten auf der Benutzerdatenbank aus. Amazon RDS sichert und verwaltet den Datenbank-Hauptschlüssel und das TDE Zertifikat.

Transparent Data Encryption wird in Szenarien verwendet, in denen Sie sensible Daten verschlüsseln müssen. So beispielsweise, wenn Sie einem Drittanbieter Datendateien und Sicherungen zur Verfügung stellen möchten, oder in Fällen, oder in denen es um sicherheitsbezogene Fragen zur Einhaltung gesetzlicher Vorschriften geht. Sie können die Systemdatenbanken für SQL Server nicht verschlüsseln, z. B. die master Datenbanken model oder.

Eine ausführliche Diskussion über Transparent Data Encryption ist nicht Gegenstand dieses Leitfadens, aber Sie sollten unbedingt die Sicherheitsstärken und -schwächen der einzelnen Verschlüsselungsalgorithmen und Schlüssel verstehen. Informationen zur transparenten Datenverschlüsselung für SQL Server finden Sie unter Transparente Datenverschlüsselung (TDE) in der Microsoft-Dokumentation.

Themen

Wird TDE RDS für den SQL Server aktiviert

Um die transparente Datenverschlüsselung RDS für eine SQL Server-DB-Instance zu aktivieren, geben Sie die TDE Option in einer RDS Optionsgruppe an, die dieser DB-Instance zugeordnet ist:

  1. Stellen Sie fest, ob Ihre DB-Instance bereits mit einer Optionsgruppe verknüpft ist, die über TDE diese Option verfügt. Um die Optionsgruppe anzuzeigen, der eine DB-Instance zugeordnet ist, verwenden Sie die RDS Konsole, den describe-db-instance AWS CLI Befehl oder die API Operation escribeDBInstancesD.

  2. Wenn die DB-Instance keiner Optionsgruppe zugeordnet ist, die TDE aktiviert wurde, haben Sie zwei Möglichkeiten. Sie können eine Optionsgruppe erstellen und die TDE Option hinzufügen, oder Sie können die zugehörige Optionsgruppe ändern, um sie hinzuzufügen.

    Anmerkung

    In der RDS Konsole hat die Option einen NamenTRANSPARENT_DATA_ENCRYPTION. In der AWS CLI Hand RDS API ist sie benanntTDE.

    Weitere Informationen zum Erstellen oder Ändern einer Optionsgruppe finden Sie unter Arbeiten mit Optionsgruppen. Weitere Informationen zum Hinzufügen einer Option zu einer Optionsgruppe finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

  3. Ordnen Sie die DB-Instance der Optionsgruppe zu, die die TDE Option enthält. Weitere Informationen zum Zuordnen einer DB-Instance zu einer Optionsgruppe finden Sie unter Ändern einer Amazon RDS DB-Instance.

Überlegungen zu Optionsgruppen

Die TDE Option ist eine persistente Option. Sie können sie nur dann aus einer Optionsgruppe entfernen, wenn keine DB-Instances und Sicherungen mehr mit der Optionsgruppe verknüpft sind. Nachdem Sie die TDE Option zu einer Optionsgruppe hinzugefügt haben, kann die Optionsgruppe nur DB-Instances zugeordnet werden, die sie verwendenTDE. Weitere Information zu persistenten Optionen in einer Optionsgruppe, finden Sie unter Übersicht über die Optionsgruppen.

Da es sich bei der TDE Option um eine persistente Option handelt, kann es zu einem Konflikt zwischen der Optionsgruppe und einer zugehörigen DB-Instance kommen. In folgenden Situationen können Konflikte auftreten:

  • Die aktuelle Optionsgruppe hat die TDE Option, und Sie ersetzen sie durch eine Optionsgruppe, die TDE diese Option nicht hat.

  • Sie führen eine Wiederherstellung von einem DB-Snapshot auf eine neue DB-Instance durch, die keine Optionsgruppe hat, die die TDE Option enthält. Weitere Informationen zu diesem Szenario finden Sie unter Überlegungen zu Optionsgruppen.

SQLÜberlegungen zur Serverleistung

Die Verwendung transparenter Datenverschlüsselung kann sich auf die Leistung einer SQL Server-DB-Instance auswirken.

Die Performance für unverschlüsselte Datenbanken kann ebenfalls beeinträchtigt werden, wenn sich die Datenbanken auf einer DB-Instance befinden, die mindestens eine verschlüsselte Datenbank besitzt. Daher empfehlen wir Ihnen, verschlüsselte und unverschlüsselte Datenbanken auf getrennten DB-Instances zu halten.