本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。 # 在 Amazon RDS for SQL Server 中啟用透明資料加密 *Ranga Cherukuri，Amazon Web Services* ## 總結此模式說明如何在 SQL Server 的 Amazon Relational Database Service (Amazon RDS) 中實作透明資料加密 (TDE)，以加密靜態資料。 ## 先決條件和限制 **先決條件** + 作用中的 AWS 帳戶 + Amazon RDS for SQL Server 資料庫執行個體 **產品版本** Amazon RDS 目前支援下列 SQL Server 版本和版本的 TDE： + SQL Server 2016 Enterprise Edition + SQL Server 2017 Enterprise Edition + SQL Server 2019 Standard 和 Enterprise Editions + SQL Server 2022 Standard 和 Enterprise Edition 如需支援版本和版本的最新資訊，請參閱 Amazon RDS 文件中的 [SQL Server 中對透明資料加密的支援](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.TDE.html)。 ## Architecture **技術堆疊** + Amazon RDS for SQL Server **架構** ![為 Amazon RDS for SQL Server 資料庫啟用 TDE 的架構](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/f513ea66-fd14-48d3-a576-8eb281e77b21/images/8a121e67-9a90-42d2-988e-3bcab0e6bc35.png) ## 工具 + Microsoft SQL Server Management Studio (SSMS) 是管理 SQL Server 基礎設施的整合環境。它提供使用者介面和一組工具，其中包含與 SQL Server 互動的豐富指令碼編輯器。 ## 史詩 ### 在 Amazon RDS 主控台中建立選項群組 | 任務 | Description | 所需的技能 | | --- | --- | --- | | 開啟 Amazon RDS 主控台。 | 登入 AWS 管理主控台並開啟 [Amazon RDS 主控台](https://console.aws.amazon.com/rds/)。 | 開發人員，DBA | | 建立選項群組。 | 在導覽窗格中，選擇**選項群組**、**建立群組**。選擇 **sqlserver-ee** 做為資料庫引擎，然後選取引擎版本。 | 開發人員，DBA | | 新增 TRANSPARENT\_DATA\_ENCRYPTION 選項。 | 編輯您建立的選項群組，並新增名為的選項`TRANSPARENT_DATA_ENCRYPTION`。 | 開發人員，DBA | ### 將選項群組與資料庫執行個體關聯 | 任務 | Description | 所需的技能 | | --- | --- | --- | | 選擇資料庫執行個體。 | 在 Amazon RDS 主控台的導覽窗格中，選擇**資料庫**，然後選擇您要與選項群組建立關聯的資料庫執行個體。 | 開發人員，DBA | | 將資料庫執行個體與選項群組建立關聯。 | 選擇**修改**，然後使用**選項群組**設定，將 SQL Server 資料庫執行個體與您先前建立的選項群組建立關聯。 | 開發人員，DBA | | 套用變更。 | 視需要立即或在下一個維護時段套用變更。 | 開發人員，DBA | | 取得憑證名稱。 | 使用下列查詢取得預設憑證名稱。

USE [master]
GO
SELECT name FROM sys.certificates WHERE name LIKE 'RDSTDECertificate%'
GO

| 開發人員，DBA | ### 建立資料庫加密金鑰 | 任務 | Description | 所需的技能 | | --- | --- | --- | | 使用 SSMS 連線至 Amazon RDS for SQL Server 資料庫執行個體。 | 如需說明，請參閱 Microsoft 文件中的[使用 SSMS](https://docs.microsoft.com/en-us/sql/ssms/sql-server-management-studio-ssms)。 | 開發人員，DBA | | 使用預設憑證建立資料庫加密金鑰。 | 使用您先前取得的預設憑證名稱來建立資料庫加密金鑰。使用下列 T-SQL 查詢來建立資料庫加密金鑰。您可以指定 AES\_256 演算法，而不是 AES\_128。

USE [Databasename]
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE [certificatename]
GO

| 開發人員，DBA | | 在資料庫上啟用加密。 | 使用下列 T-SQL 查詢來啟用資料庫加密。

ALTER DATABASE [Database Name]
SET ENCRYPTION ON
GO

| 開發人員，DBA | | 檢查加密的狀態。 | 使用下列 T-SQL 查詢來檢查加密狀態。

SELECT DB_NAME(database_id) AS DatabaseName, encryption_state, percent_complete FROM sys.dm_database_encryption_keys

| 開發人員，DBA | ## 相關資源 + [支援 SQL Server 中的透明資料加密](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.SQLServer.Options.TDE.html) (Amazon RDS 文件） + [使用選項群組 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithOptionGroups.html)(Amazon RDS 文件） + [修改 Amazon RDS 資料庫執行個體 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)(Amazon RDS 文件） + [SQL Server 的透明資料加密](https://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/transparent-data-encryption) (Microsoft 文件） + [使用 SSMS](https://docs.microsoft.com/en-us/sql/ssms/sql-server-management-studio-ssms) (Microsoft 文件）