Amazon RDS for SQL Server에서 투명한 데이터 암호화 활성화하기

작성자: Ranga Cherukuri (AWS)

환경: PoC 또는 파일럿	기술: 보안, 자격 증명, 규정 준수, 분석, 데이터베이스	워크로드: Microsoft
AWS 서비스: Amazon RDS

요약

이 패턴에서는 Amazon Relational Database Service(Amazon RDS)에서 투명한 데이터 암호화(TDE)를 구현하여 SQL Server가 저장 데이터를 암호화하는 방법을 설명합니다.

사전 조건

제품 버전

Amazon RDS는 현재 다음 SQL Server 버전과 에디션에 TDE를 지원합니다.

지원되는 버전 및 에디션에 대한 최신 정보는 Amazon RDS 설명서의 SQL Server의 투명한 데이터 암호화 지원을 참고하십시오.

기술 스택

아키텍처

Microsoft SQL Server Management Studio(SSMS)는 SQL Server 인프라를 관리하기 위한 통합 환경입니다. SQL Server와 상호 작용하는 다양한 스크립트 편집기와 함께 사용자 인터페이스와 도구 그룹을 제공합니다.

작업	설명	필요한 기술
Amazon RDS 콘솔을 엽니다.	AWS Management Console에 로그인하고 Amazon RDS 콘솔을 엽니다.	개발자, DBA
옵션 그룹을 생성합니다.	탐색 창에서 옵션 그룹, 그룹 생성을 선택합니다. sqlserver-ee를 DB 엔진으로 선택한 다음, 엔진 버전을 선택합니다.	개발자, DBA
TRANSPARENT_DATA_ENCRYPTION 옵션을 추가합니다.	생성한 옵션 그룹을 편집하고 `TRANSPARENT_DATA_ENCRYPTION`이라는 옵션을 추가합니다.	개발자, DBA

작업	설명	필요한 기술
DB 인스턴스를 선택합니다.	Amazon RDS 콘솔의 탐색 창에서 데이터베이스를 선택한 후, 옵션 그룹과 연결할 DB 인스턴스를 선택합니다.	개발자, DBA
옵션 그룹을 DB 인스턴스에 연결합니다.	수정을 선택한 다음, 옵션 그룹 설정을 사용하여 SQL Server DB 인스턴스를 이전에 만든 옵션 그룹과 연결합니다.	개발자, DBA
변경 사항을 적용합니다.	변경 사항을 즉시 적용하거나 원한다면 다음 유지 관리 기간에 적용합니다.	개발자, DBA
인증서 이름을 가져옵니다.	다음 쿼리를 사용하여 기본 인증서 이름을 가져옵니다. `USE [master] GO SELECT name FROM sys.certificates WHERE name LIKE 'RDSTDECertificate%' GO`	개발자, DBA

작업	설명	필요한 기술
SSMS를 사용하여 Amazon RDS for SQL Server DB 인스턴스에 연결합니다.	지침은 Microsoft 설명서의 SSMS 사용을 참조하세요.	개발자, DBA
기본 인증서를 사용하여 데이터베이스 암호화 키를 생성합니다.	앞서 받은 기본 인증서 이름을 사용하여 데이터베이스 암호화 키를 생성합니다. 다음 T-SQL 쿼리를 사용하여 데이터베이스 암호화 키를 생성합니다. AES_256 대신 AES_256 알고리즘을 지정할 수 있습니다. `USE [Databasename] GO CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_128 ENCRYPTION BY SERVER CERTIFICATE [certificatename] GO`	개발자, DBA
데이터베이스의 암호화를 활성화합니다.	다음 T-SQL 쿼리를 사용하여 데이터베이스 암호화를 활성화합니다. `ALTER DATABASE [Database Name] SET ENCRYPTION ON GO`	개발자, DBA
암호화 상태를 확인합니다.	다음 T-SQL 쿼리를 사용하여 암호화 상태를 확인합니다. `SELECT DB_NAME(database_id) AS DatabaseName, encryption_state, percent_complete FROM sys.dm_database_encryption_keys`	개발자, DBA