Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Recursos relacionados

Habilitar el cifrado transparente de datos en Amazon RDS para SQL Server

Creado por Ranga Cherukuri (AWS)

Entorno: PoC o piloto	Tecnologías: Seguridad, identidad, cumplimiento; Bases de datos	Carga de trabajo: Microsoft
Servicios de AWS: Amazon RDS

Resumen

Este patrón describe cómo implementar el cifrado transparente de datos (TDE) en Amazon Relational Database Service (Amazon RDS) para SQL Server con el fin de cifrar los datos en reposo.

Requisitos previos y limitaciones

Requisitos previos

Una cuenta de AWS activa
Instancia de base de datos de Amazon RDS para SQL Server

Versiones de producto

Actualmente, Amazon RDS admite TDE para las siguientes versiones y ediciones de SQL Server:

SQL Server 2012 Enterprise Edition
SQL Server 2014 Enterprise Edition
SQL Server 2016 Enterprise Edition
SQL Server 2017 Enterprise Edition
SQL Server 2019: Standard y Enterprise Editions

Para obtener la información más reciente sobre las versiones y ediciones compatibles, consulte Compatibilidad con cifrado de datos transparente en SQL Server en la documentación de Amazon RDS.

Arquitectura

Pila de tecnología

Amazon RDS para SQL Server

Arquitectura

Herramientas

Herramientas

Microsoft SQL Server Management Studio (SSMS) es un entorno integrado para administrar infraestructuras de SQL Server. Proporciona una interfaz de usuario y un grupo de herramientas con editores de scripts enriquecidos que interactúan con SQL Server.

Epics

Tarea	Descripción	Habilidades requeridas
Abra la consola de Amazon RDS.	Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon RDS.	Desarrollador, Administrador de base de datos
Crear un grupo de opciones.	En el panel de navegación, elija Opciñon grupos, Crear grupo. Seleccione sqlserver-ee como motor de base de datos y, a continuación, seleccione la versión del motor.	Desarrollador, Administrador de base de datos
Agregue la opción TRANSPARENT_DATA_ENCRYPTION.	Edite el conjunto de opciones que ha creado y añada la opción denominada `TRANSPARENT_DATA_ENCRYPTION`.	Desarrollador, Administrador de base de datos

Tarea	Descripción	Habilidades requeridas
Elija la instancia de base de datos.	En la consola de Amazon RDS, en el panel de navegación, elija Bases de datos y, a continuación, seleccione la instancia de base de datos que desea asociar con el grupo de opciones.	Desarrollador, Administrador de base de datos
Asocie la instancia de base de datos con el grupo de opciones.	Seleccione Modificar y, a continuación, use la configuración del conjunto de opciones para asociar la instancia de base de datos de SQL Server con el conjunto de opciones que creó anteriormente.	Desarrollador, Administrador de base de datos
Aplique los cambios.	Aplique los cambios inmediatamente o durante la siguiente ventana de mantenimiento, según desee.	Desarrollador, Administrador de base de datos
Obtenga el nombre del certificado.	Obtenga el nombre predeterminado del certificado ejecutando la siguiente consulta. `USE [master] GO SELECT name FROM sys.certificates WHERE name LIKE 'RDSTDECertificate%' GO`	Desarrollador, Administrador de base de datos

Tarea	Descripción	Habilidades requeridas
Conéctese a la instancia de base de datos de Amazon RDS para SQL Server mediante SSMS.	Para obtener instrucciones, consulte Uar SSMS en la documentación de Microsoft.	Desarrollador, Administrador de base de datos
Cree la clave de cifrado de la base de datos usando el certificado predeterminado.	Crear una clave de encriptación de la base de datos utilizando el nombre del certificado por defecto que obtuvo anteriormente. Ejecute la siguiente consulta de T-SQL para crear una clave de cifrado de base de datos. Puede especificar el algoritmo AES_256 en lugar de AES_128. `USE [Databasename] GO CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_128 ENCRYPTION BY SERVER CERTIFICATE [certificatename] GO`	Desarrollador, Administrador de base de datos
Habilite el cifrado en la base de datos.	Ejecute la siguiente consulta T-SQL para habilitar el cifrado de base de datos. `ALTER DATABASE [Database Name] SET ENCRYPTION ON GO`	Desarrollador, Administrador de base de datos
Compruebe el estado del cifrado.	Ejecute la siguiente consulta T-SQL para comprobar el estado del cifrado. `SELECT DB_NAME(database_id) AS DatabaseName, encryption_state, percent_complete FROM sys.dm_database_encryption_keys`	Desarrollador, Administrador de base de datos

Recursos relacionados

Compatibilidad con el Cifrado de datos transparente en SQL Server (documentación de Amazon RDS)
Trabajo con conjuntos de opciones (documentación de Amazon RDS)
Modificar una instancia de base de datos de Amazon RDS (documentación de Amazon RDS)
Cifrado de datos transparente para SQL Server (documentación de Microsoft)
Uso de SSMS (documentación de Microsoft)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilite el GuardDuty uso de plantillas CloudFormation

Asegúrese de que las CloudFormation pilas de AWS se lancen desde buckets S3 autorizados