TDE 활성화 데이터 암호화 TDE 인증서 백업 및 복원 온프레미스 데이터베이스에 대한 TDE 인증서 백업 및 복원 TDE 비활성화

SQL Server에서 TDE(투명한 데이터 암호화) 지원

Amazon RDS는 Microsoft SQL Server를 실행하는 DB 인스턴스에 저장된 데이터를 암호화하기 위하여 Transparent Data Encryption(TDE) 이용을 지원합니다. TDE는 스토리지에 데이터를 쓰기 전에 자동으로 데이터를 암호화한 뒤에 데이터를 스토리지에서 읽을 때 다시 자동으로 복호화합니다.

Amazon RDS는 다음 SQL Server 버전에 TDE를 지원합니다.

SQL Server 2022 Standard Edition 및 Enterprise Edition
SQL Server 2019 Standard Edition 및 Enterprise Edition
SQL Server 2017 Enterprise Edition
SQL Server 2016 Enterprise Edition
SQL Server 2014 Enterprise Edition

SQL Server의 TDE는 2계층 키 아키텍처를 사용하여 암호화 키 관리 기능을 지원합니다. 데이터베이스 마스터 키에서 생성된 인증서는 데이터 암호화 키를 보호하는 데 사용됩니다. 데이터베이스 암호화 키는 사용자 데이터베이스의 데이터를 실제로 암호화 및 복호화합니다. Amazon RDS는 데이터베이스 마스터 키와 TDE 인증서를 백업하고 관리합니다.

Transparent Data Encryption은 중요한 데이터를 암호화해야 하는 경우에 사용됩니다. 예를 들어 타사에 데이터 파일과 백업을 제공하거나 보안 관련 규정 준수 문제를 해결하고 싶을 수 있습니다. model 또는 master 데이터베이스와 같은 SQL Server의 시스템 데이터베이스를 암호화할 수 없습니다.

투명한 데이터 암호화에 대한 자세한 설명은 본 문서의 범위에서 벗어나지만, 보안과 관련하여 각 암호화 알고리즘과 키의 장단점은 잘 알고 있어야 합니다. SQL Server의 투명한 데이터 암호화(TDE)에 대한 자세한 내용은 Microsoft 설명서의 투명한 데이터 암호화(TDE)를 참조하세요.

RDS for SQL Server에 대한 TDE 활성화

RDS for SQL Server DB 인스턴스에서 투명한 데이터 암호화를 활성화하려면 해당 DB 인스턴스와 연동되어 있는 RDS 옵션 그룹에서 TDE 옵션을 지정해야 합니다.

혹시 DB 인스턴스가 TDE 옵션이 추가된 옵션 그룹과 이미 연동되어 있는지 먼저 확인합니다. DB 인스턴스와 연동되어 있는 옵션 그룹은 RDS 콘솔, describe-db-instance AWS CLI 명령 또는 API 작업 DescribeDBInstances를 사용하여 확인할 수 있습니다.
DB 인스턴스가 TDE가 활성화된 옵션 그룹과 연결되어 있지 않으면 2가지 옵션을 사용할 수 있습니다. 옵션 그룹을 생성하고 TDE 옵션을 추가하거나, 연결된 옵션 그룹을 수정하여 추가할 수 있습니다.

참고
RDS 콘솔에서는 옵션의 이름이 TRANSPARENT_DATA_ENCRYPTION입니다. AWS CLI 및 RDS API에서는 이 이름이 TDE입니다.

옵션 그룹의 생성 및 변경에 대한 자세한 내용은 옵션 그룹 작업 단원을 참조하십시오. 옵션 그룹에 옵션을 추가하는 방법에 대한 자세한 내용은 옵션 그룹에 옵션 추가 단원을 참조하십시오.
DB 인스턴스를 TDE 옵션이 있는 옵션 그룹과 연결합니다. DB 인스턴스와 옵션 그룹의 연동에 대한 자세한 내용은 Amazon RDS DB 인스턴스 수정 단원을 참조하십시오.

옵션 그룹 고려 사항

TDE 옵션은 영구 옵션입니다. 모든 DB 인스턴스 및 백업이 옵션 그룹과 연결되어 있지 않은 경우를 제외하고 옵션 그룹에서 DB 인스턴스 및 백업을 제거할 수 없습니다. TDE 옵션을 옵션 그룹에 추가하면 이 옵션 그룹은 TDE를 사용하는 DB 인스턴스에 한해 연동이 가능합니다. 옵션 그룹의 영구 옵션에 대한 자세한 내용은 옵션 그룹 개요 단원을 참조하십시오.

TDE 옵션은 영구 옵션이기 때문에 옵션 그룹과 연결된 DB 인스턴스 사이에 충돌이 일어날 수 있습니다. 다음 상황에서 충돌이 발생할 수 있습니다.

현재 TDE 옵션을 설정한 옵션 그룹을 TDE 옵션을 사용하지 않는 옵션 그룹으로 변경하는 경우
DB 스냅샷에서 TDE 옵션을 포함하는 옵션 그룹이 연결되지 않은 새 DB 인스턴스로 복원하는 경우 이 시나리오에 대한 자세한 내용은 옵션 그룹 고려 사항를 참조하십시오.

SQL Server 성능 고려 사항

투명한 데이터 암호화를 사용하면 SQL Server DB 인스턴스의 성능에 영향을 미칠 수 있습니다.

DB 인스턴스의 데이터베이스 중 암호화된 데이터베이스가 하나 이상만 있어도 마찬가지로 암호화되지 않은 데이터베이스의 성능이 떨어질 수 있습니다. 따라서 암호화되지 않은 데이터베이스와 암호화된 데이터베이스는 별도의 DB 인스턴스에서 관리하는 것이 좋습니다.

RDS for SQL Server의 데이터 암호화

TDE 옵션을 옵션 그룹에 추가하면 Amazon RDS가 암호화 프로세스에 사용할 인증서를 생성합니다. 그러면 이 인증서를 사용하여 DB 인스턴스의 데이터베이스에 저장된 데이터를 암호화하는 SQL 문을 실행할 수 있습니다.

다음은 RDSTDECertificateName이라고 하는 RDS 생성 인증서를 사용하여 myDatabase라는 데이터베이스를 암호화하는 예제입니다.


---------- Turning on TDE -------------

-- Find an RDS TDE certificate to use
USE [master]
GO
SELECT name FROM sys.certificates WHERE name LIKE 'RDSTDECertificate%'
GO

USE [myDatabase]
GO
-- Create a database encryption key (DEK) using one of the certificates from the previous step
CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256
ENCRYPTION BY SERVER CERTIFICATE [RDSTDECertificateName]
GO

-- Turn on encryption for the database
ALTER DATABASE [myDatabase] SET ENCRYPTION ON
GO

-- Verify that the database is encrypted
USE [master]
GO
SELECT name FROM sys.databases WHERE is_encrypted = 1
GO
SELECT db_name(database_id) as DatabaseName, * FROM sys.dm_database_encryption_keys
GO

TDE를 사용하여 SQL Server 데이터베이스를 암호화하는 데 걸리는 시간은 몇 가지 요인에 따라 다릅니다. 여기에는 DB 인스턴스의 크기, 인스턴스가 프로비저닝된 IOPS 스토리지를 사용하는지 여부, 데이터 양 및 기타 요소가 포함됩니다.

RDS for SQL Server에서 TDE 인증서 백업 및 복원

RDS for SQL Server는 TDE 인증서를 백업, 복원 및 삭제하기 위한 저장 프로시저를 제공합니다. RDS for SQL Server는 복원된 사용자 TDE 인증서를 보는 기능도 제공합니다.

사용자 TDE 인증서는 온프레미스에 있고 TDE가 설정된 RDS for SQL Server로 데이터베이스를 복원하는 데 사용됩니다. 이러한 인증서에는 접두사 UserTDECertificate_가 붙습니다. RDS는 데이터베이스를 복원한 후 사용할 수 있게 하기 전에 TDE가 활성화된 데이터베이스를 수정하여 RDS 생성 TDE 인증서를 사용합니다. 이러한 인증서에는 접두사 RDSTDECertificate가 붙습니다.

사용자 TDE 인증서는 rds_drop_tde_certificate 저장 프로시저를 사용하여 삭제하지 않는 한 RDS for SQL Server DB 인스턴스에 남아 있습니다. 자세한 내용은 복원된 TDE 인증서 삭제 섹션을 참조하세요.

사용자 TDE 인증서를 사용하여 소스 DB 인스턴스에서 다른 데이터베이스를 복원할 수 있습니다. 복원할 데이터베이스는 동일한 TDE 인증서를 사용해야 하며, TDE가 활성화되어 있어야 합니다. 동일한 인증서를 다시 가져올(복원) 필요가 없습니다.

주제

사전 조건
제한 사항
TDE 인증서 백업
TDE 인증서 복원
복원된 TDE 인증서 보기
복원된 TDE 인증서 삭제

사전 조건

RDS for SQL Server에 TDE 인증서를 백업하거나 복원하려면 먼저 다음 태스크를 수행해야 합니다. 처음 3개는 기본 백업 및 복원 설정에 설명되어 있습니다.

백업 및 복원할 파일을 저장하기 위한 Amazon S3 버킷을 생성합니다.

데이터베이스 백업 및 TDE 인증서 백업에는 별도의 버킷을 사용하는 것이 좋습니다.
파일 백업 및 복원을 위한 IAM 역할을 생성합니다.

IAM 역할은 AWS KMS key의 관리자이며 사용자여야 합니다.

SQL Server 기본 백업 및 복원에 필요한 권한 외에도 IAM 역할에는 다음과 같은 권한이 필요합니다.
- S3 버킷 리소스의 s3:GetBucketACL, s3:GetBucketLocation, s3:ListBucket
- * 리소스의 s3:ListAllMyBuckets
DB 인스턴스의 옵션 그룹에 SQLSERVER_BACKUP_RESTORE 옵션을 추가합니다.

이는 TRANSPARENT_DATA_ENCRYPTION(TDE) 옵션에 추가됩니다.
대칭 암호화 KMS 키가 있는지 확인합니다. 다음과 같은 옵션이 있습니다:
- 계정에 기존 KMS 키가 있는 경우 사용할 수 있습니다. 별도로 조치를 취할 필요가 없습니다.
- 계정에 사용 중이던 대칭 암호화 KMS 키가 없는 경우 AWS Key Management Service 개발자 가이드의 키 생성 지침에 따라 KMS 키를 생성합니다.
Amazon S3 통합을 활성화하여 DB 인스턴스와 Amazon S3 간에 파일을 전송합니다.

Amazon S3 통합에 대한 자세한 내용은 Amazon RDS for SQL Server DB 인스턴스와 Amazon S3 통합 섹션을 참조하세요.

제한 사항

저장 프로시저를 사용하여 TDE 인증서를 백업 및 복원하는 데는 다음과 같은 제한이 있습니다.

SQLSERVER_BACKUP_RESTORE 및 TRANSPARENT_DATA_ENCRYPTION(TDE) 옵션을 모두 DB 인스턴스에 연결된 옵션 그룹에 추가해야 합니다.
다중 AZ DB 인스턴스에는 TDE의 인증서 백업 및 복원이 지원되지 않습니다.
TDE 인증서 백업 및 복원 태스크는 취소할 수 없습니다.
RDS for SQL Server DB 인스턴스에 있는 다른 데이터베이스의 TDE 암호화에 사용자 TDE 인증서를 사용할 수 없습니다. 이를 사용하여 TDE가 활성화되어 있고 동일한 TDE 인증서를 사용하는 소스 DB 인스턴스에서 다른 데이터베이스만 복원할 수 있습니다.
사용자 TDE 인증서만 삭제할 수 있습니다.
RDS에서 지원되는 최대 사용자 TDE 인증서 수는 10개입니다. 개수가 10개를 초과하면 사용하지 않는 TDE 인증서를 삭제하고 다시 시도하세요.
인증서 이름은 비어 있거나 null일 수 없습니다.
인증서를 복원할 때 인증서 이름에 RDSTDECERTIFICATE 키워드를 포함할 수 없으며, UserTDECertificate_ 접두사로 시작해야 합니다.
@certificate_name 파라미터에는 a-z, 0-9, @, $, #, 밑줄(_) 문자만 포함할 수 있습니다.
@certificate_file_s3_arn 파일 확장명은 .cer(대/소문자를 구분하지 않음)이어야 합니다.
@private_key_file_s3_arn 파일 확장명은 .pvk(대/소문자를 구분하지 않음)이어야 합니다.
프라이빗 키 파일의 S3 메타데이터에는 x-amz-meta-rds-tde-pwd 태그가 포함되어야 합니다. 자세한 내용은 온프레미스 데이터베이스에 대한 TDE 인증서 백업 및 복원 섹션을 참조하세요.

TDE 인증서 백업

TDE 인증서를 백업하려면 rds_backup_tde_certificate 저장 프로시저를 사용하면 됩니다. 다음 구문을 사용합니다.


EXECUTE msdb.dbo.rds_backup_tde_certificate
    @certificate_name='UserTDECertificate_certificate_name | RDSTDECertificatetimestamp',
    @certificate_file_s3_arn='arn:aws:s3:::bucket_name/certificate_file_name.cer',
    @private_key_file_s3_arn='arn:aws:s3:::bucket_name/key_file_name.pvk',
    @kms_password_key_arn='arn:aws:kms:region:account-id:key/key-id',
    [@overwrite_s3_files=0|1];

다음 파라미터는 필수 파라미터입니다.

@certificate_name - 백업할 TDE 인증서의 이름입니다.
@certificate_file_s3_arn - Amazon S3의 인증서 백업 파일에 대한 대상 Amazon 리소스 이름(ARN)입니다.
@private_key_file_s3_arn - TDE 인증서를 보호하는 프라이빗 키 파일의 대상 S3 ARN입니다.
@kms_password_key_arn - 프라이빗 키 암호를 암호화하는 데 사용되는 대칭 KMS 키의 ARN입니다.

다음 파라미터는 선택 사항입니다.

@overwrite_s3_files - S3의 기존 인증서 및 프라이빗 키 파일을 덮어쓸지를 나타냅니다.
- 0 – 기존 파일을 덮어쓰지 않습니다. 이 값이 기본값입니다.
  
  @overwrite_s3_files를 0으로 설정하면 파일이 이미 존재할 경우 오류를 반환합니다.
- 1 – 백업 파일이 아니더라도 지정된 이름이 있는 기존 파일을 덮어씁니다.

예 TDE 인증서 백업


EXECUTE msdb.dbo.rds_backup_tde_certificate
    @certificate_name='RDSTDECertificate20211115T185333',
    @certificate_file_s3_arn='arn:aws:s3:::TDE_certs/mycertfile.cer',
    @private_key_file_s3_arn='arn:aws:s3:::TDE_certs/mykeyfile.pvk',
    @kms_password_key_arn='arn:aws:kms:us-west-2:123456789012:key/AKIAIOSFODNN7EXAMPLE',
    @overwrite_s3_files=1;

TDE 인증서 복원

rds_restore_tde_certificate 저장 프로시저를 통해 사용자 TDE 인증서를 복원(가져오기)할 수 있습니다. 다음 구문을 사용합니다.


EXECUTE msdb.dbo.rds_restore_tde_certificate
    @certificate_name='UserTDECertificate_certificate_name',
    @certificate_file_s3_arn='arn:aws:s3:::bucket_name/certificate_file_name.cer',
    @private_key_file_s3_arn='arn:aws:s3:::bucket_name/key_file_name.pvk',
    @kms_password_key_arn='arn:aws:kms:region:account-id:key/key-id';

다음 파라미터는 필수 파라미터입니다.

@certificate_name - 복원할 TDE 인증서의 이름입니다. 이름이 UserTDECertificate_ 접두사로 시작해야 합니다.
@certificate_file_s3_arn - TDE 인증서를 복원하는 데 사용된 백업 파일의 S3 ARN입니다.
@private_key_file_s3_arn - 복원할 TDE 인증서에 대한 프라이빗 키 백업 파일의 S3 ARN입니다.
@kms_password_key_arn - 프라이빗 키 암호를 암호화하는 데 사용되는 대칭 KMS 키의 ARN입니다.

예 TDE 인증서 복원


EXECUTE msdb.dbo.rds_restore_tde_certificate
    @certificate_name='UserTDECertificate_myTDEcertificate',
    @certificate_file_s3_arn='arn:aws:s3:::TDE_certs/mycertfile.cer',
    @private_key_file_s3_arn='arn:aws:s3:::TDE_certs/mykeyfile.pvk',
    @kms_password_key_arn='arn:aws:kms:us-west-2:123456789012:key/AKIAIOSFODNN7EXAMPLE';

복원된 TDE 인증서 보기

rds_fn_list_user_tde_certificates 함수를 통해 복원된(가져온) 사용자 TDE 인증서를 볼 수 있습니다. 다음 구문을 사용합니다.


SELECT * FROM msdb.dbo.rds_fn_list_user_tde_certificates();

다음과 유사하게 출력됩니다. 여기에는 일부 열이 표시되지 않습니다.

`name`	`certificate_id`	`principal_id`	`pvt_key_encryption_type_desc`	`issuer_name`	`cert_serial_number`	`thumbprint`	`subject`	`start_date`	`expiry_date`	`pvt_key_last_backup_date`
`UserTDECertificate_tde_cert`	`343`	`1`	`ENCRYPTED_BY_MASTER_KEY`	`AnyCompany Shipping`	`79 3e 57 a3 69 fd 1d 9e 47 2c 32 67 1d 9c ca af`	`0x6BB218B34110388680B FE1BA2D86C695096485B5`	`AnyCompany Shipping`	`2022-04-05 19:49:45.0000000`	`2023-04-05 19:49:45.0000000`	`NULL`

복원된 TDE 인증서 삭제

사용하지 않는 복원된(가져온) 사용자 TDE 인증서를 삭제하려면 rds_drop_tde_certificate 저장 프로시저를 사용합니다. 다음 구문을 사용합니다.


EXECUTE msdb.dbo.rds_drop_tde_certificate @certificate_name='UserTDECertificate_certificate_name';

다음 파라미터는 필수입니다.

@certificate_name - 삭제할 TDE 인증서의 이름입니다.

복원된(가져온) TDE 인증서만 삭제할 수 있습니다. RDS 생성 인증서는 삭제할 수 없습니다.

예 TDE 인증서 삭제


EXECUTE msdb.dbo.rds_drop_tde_certificate @certificate_name='UserTDECertificate_myTDEcertificate';

온프레미스 데이터베이스에 대한 TDE 인증서 백업 및 복원

온프레미스 데이터베이스에 대한 TDE 인증서를 백업한 다음 나중에 RDS for SQL Server로 복원할 수 있습니다. RDS for SQL Server TDE 인증서를 온프레미스 DB 인스턴스로 복원할 수도 있습니다.

다음 절차에서는 TDE 인증서 및 프라이빗 키를 백업합니다. 프라이빗 키는 대칭 암호화 KMS 키에서 생성된 데이터 키를 사용하여 암호화됩니다.

온프레미스 TDE 인증서를 백업하려면

AWS CLI generate-data-key 명령을 사용하여 데이터 키를 생성합니다.


aws kms generate-data-key \
    --key-id my_KMS_key_ID \
    --key-spec AES_256

다음과 유사하게 출력됩니다.


{
"CiphertextBlob": "AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B
BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ
2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==",
"Plaintext": "U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0=",
"KeyId": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-00ee-99ff-88dd-aa11bb22cc33"
}

다음 단계에서 일반 텍스트 출력을 프라이빗 키 암호로 사용합니다.

다음 예와 같이 TDE 인증서를 백업합니다.


BACKUP CERTIFICATE myOnPremTDEcertificate TO FILE = 'D:\tde-cert-backup.cer'
WITH PRIVATE KEY (
FILE = 'C:\Program Files\Microsoft SQL Server\MSSQL14.MSSQLSERVER\MSSQL\DATA\cert-backup-key.pvk',
ENCRYPTION BY PASSWORD = 'U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0=');

Amazon S3 인증서 버킷에 인증서 백업 파일을 저장합니다.

파일의 메타데이터에 다음 태그를 사용하여 프라이빗 키 백업 파일을 S3 인증서 버킷에 저장합니다.

키 - x-amz-meta-rds-tde-pwd

값 - 다음 예와 같이 데이터 키를 생성할 때의 CiphertextBlob 값입니다.


AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B
BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ
2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==

다음 절차에서는 RDS for SQL Server TDE 인증서를 온프레미스 DB 인스턴스에 복원합니다. 인증서 백업, 해당 프라이빗 키 파일 및 데이터 키를 사용하여 대상 DB 인스턴스에서 TDE 인증서를 복사하고 복원합니다. 복원된 인증서는 새 서버의 데이터베이스 마스터 키로 암호화됩니다.

TDE 인증서를 복원하려면

Amazon S3에서 대상 인스턴스로 TDE 인증서 백업 파일과 프라이빗 키 파일을 복사합니다. Amazon S3에서 파일 복사에 대한 자세한 내용은 RDS for SQL Server와 Amazon S3 간 파일 전송 섹션을 참조하세요.
KMS 키로 출력 암호 텍스트를 해독하여 데이터 키의 일반 텍스트를 검색합니다. 암호 텍스트는 프라이빗 키 백업 파일의 S3 메타데이터에 있습니다.
```
aws kms decrypt \
    --key-id my_KMS_key_ID \
    --ciphertext-blob fileb://exampleCiphertextFile | base64 -d \
    --output text \
    --query Plaintext
```
다음 단계에서 일반 텍스트 출력을 프라이빗 키 암호로 사용합니다.

TDE 인증서를 복원하려면 다음 SQL 명령을 사용합니다.


CREATE CERTIFICATE myOnPremTDEcertificate FROM FILE='D:\tde-cert-backup.cer'
WITH PRIVATE KEY (FILE = N'D:\tde-cert-key.pvk',
DECRYPTION BY PASSWORD = 'plain_text_output');

KMS 해독에 대한 자세한 내용은 AWS CLI 명령 참조의 KMS 섹션에서 해독을 참조하세요.

TDE 인증서가 대상 DB 인스턴스에 복원된 후 해당 인증서를 사용하여 암호화된 데이터베이스를 복원할 수 있습니다.

참고

동일한 TDE 인증서를 사용하여 소스 DB 인스턴스의 여러 SQL Server 데이터베이스를 암호화할 수 있습니다. 여러 데이터베이스를 대상 인스턴스로 마이그레이션하려면 연결된 TDE 인증서를 대상 인스턴스에 한 번만 복사합니다.

RDS for SQL Server에 대한 TDE 비활성화

RDS for SQL Server DB 인스턴스에서 TDE를 비활성화하려면 먼저 DB 인스턴스에 암호화된 객체가 하나도 없어야 합니다. 이렇게 하려면 객체의 암호를 해독하거나 삭제하면 됩니다. DB 인스턴스에 암호화된 객체가 남아 있을 경우에는 DB 인스턴스에서 TDE를 비활성할 수 없습니다. 콘솔을 사용하여 옵션 그룹에서 TDE 옵션을 제거하면 콘솔에 처리 중으로 표시됩니다. 또한 옵션 그룹이 암호화된 DB 인스턴스 또는 DB 스냅샷과 연결되어 있으면 오류 이벤트가 생성됩니다.

다음은 customerDatabase라고 하는 데이터베이스에서 TDE 암호화를 제거하는 예제입니다.


------------- Removing TDE ----------------

USE [customerDatabase]
GO

-- Turn off encryption of the database
ALTER DATABASE [customerDatabase]
SET ENCRYPTION OFF
GO

-- Wait until the encryption state of the database becomes 1. The state is 5 (Decryption in progress) for a while
SELECT db_name(database_id) as DatabaseName, * FROM sys.dm_database_encryption_keys
GO

-- Drop the DEK used for encryption
DROP DATABASE ENCRYPTION KEY
GO

-- Alter to SIMPLE Recovery mode so that your encrypted log gets truncated
USE [master]
GO
ALTER DATABASE [customerDatabase] SET RECOVERY SIMPLE
GO

모든 객체의 암호를 해독할 때는 2가지 옵션을 사용할 수 있습니다.

TDE 옵션 없이 옵션 그룹과 연결되도록 DB 인스턴스를 수정할 수 있습니다.
옵션 그룹에서 TDE 옵션을 제거할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

기본 백업 및 복원

SQL Server Audit