Wie kann ich TDE in meiner RDS-für-SQL-Server-Instance aus- oder einschalten und wie behebe ich damit verbundene Fehler?

Lesedauer: 4 Minute

Ich möchte die Option für Transparent Data Encryption (TDE, transparente Datenverschlüsselung) in die Optionsgruppe für meine Instance von Amazon Relational Database Service (Amazon RDS) für Microsoft SQL Server aufnehmen oder entfernen. Oder, ich habe TDE aus- oder eingeschaltet und es treten jetzt Fehler im Zusammenhang mit TDE in meiner RDS-für-SQL-Server-Instance auf. Wie kann ich diese Fehler beheben?

Kurzbeschreibung

TDE schützt Daten im Ruhezustand, indem es die physischen Dateien der Datenbank verschlüsselt, z. B. die Daten (.mdf und .ndf) und die Transaktions-Protokolldatei (.ldf). Wenn TDE aktiviert ist, wird TempDB automatisch verschlüsselt und von allen benutzerdefinierten Datenbanken verwendet, um temporäre Objekte zu speichern oder zu verarbeiten.

Lösung

Aktivieren von TDE

Gehen Sie wie folgt vor, um TDE in Ihrer Instance zu aktivieren:

Überprüfen Sie, ob TDE für die aktuelle DB-Engine-Version Ihrer DB-Instance unterstützt wird.
Aktivieren Sie TDE für RDS für SQL Server.
Verschlüsseln Sie die Daten in Ihrer Datenbank.

Hinweis: Das Zertifikat wird automatisch erstellt, wenn Sie die Option TDE in der Optionsgruppe hinzufügen und sie der DB-Instance zuordnen. Das Zertifikat wird auch automatisch erstellt, wenn Sie die bereits zugeordnete Optionsgruppe ändern und ihr die TDE-Option hinzufügen. Sie müssen das TDE-Zertifikat nicht manuell auf der DB-Instance erstellen.

Deaktivieren von TDE

Informationen darüber, wie Sie TDE deaktivieren können, finden Sie unter Deaktivieren von TDE für RDS für SQL Server.

Hinweis: Nachdem Sie TDE in der Datenbank deaktiviert haben, müssen Sie die DB-Instance neu starten, um die Verschlüsselung für TempDB zu entfernen.

Behebung der häufigen Fehler

Fehler: „Cannot find server certificate with thumbprint '0x56CCEA7170BD5AFB02EB08C674XXXXXXXXXXXXXX'. RESTORE DATABASE is terminating abnormally." (Serverzertifikat mit Fingerabdruck '0x56CCEA7170BD5AFB02EB08C674XXXXXXXXXXXXXX' nicht gefunden. RESTORE DATABASE wird abnormal beendet.)

Dieser Fehler tritt auf, wenn eine Backup-Datei mit einer TDE-verschlüsselten Quelldatenbank in einer anderen RDS-für-SQL-Server-Instance als der ursprünglichen SQL-Server-Instance wiederhergestellt wird. Um die Datenbank wiederherzustellen, muss das TDE-Zertifikat der SQL-Server-Quellinstance in die Zielinstance von RDS für SQL Server DB importiert werden.

Weitere Informationen zu Backup und Wiederherstellung von TDE-Zertifikaten finden Sie in den folgenden Abschnitten:

Fehler – Msg 50000, Level 16, State 1, Procedure msdb.dbo.rds_restore_tde_certificate, Line 91 [Batch Start Line 0] TDE certificate restore isn't supported on Multi-AZ DB instances. (Wiederherstellung von TDE-Zertifikaten wird auf Multi-AZ-DB-Instances nicht unterstützt.)

Dieser Fehler tritt auf, wenn ein TDE-Zertifikat auf einer Multi-AZ-DB-Instance wiederhergestellt wird. Backup und Wiederherstellung von TDE-Zertifikaten wird auf Multi-AZ-DB-Instances nicht unterstützt.

Weitere Informationen finden Sie unter Limitations (Einschränkungen) bei Backup und Wiederherstellung von TDE-Zertifikaten auf RDS für SQL Server.

Um diesen Fehler zu vermeiden, deaktivieren Sie die Multi-AZ-Bereitstellung auf Ihrer DB-Instance. Stellen Sie dann das TDE-Zertifikat auf der RDS-DB-Instance wieder her.

Fehler – Die Ausführung der Aufgabe wurde gestartet. Die Aufgabe wurde abgebrochen. Das Passwort für den privaten Schlüssel wurde in S3-Metadaten nicht gefunden.

Dieser Fehler tritt auf, wenn Benutzer-TDE-Zertifikate aus einem Amazon Simple Storage Service (Amazon S3)-Bucket mit falschen Metadaten im privaten Schlüssel importiert werden.

Um dieses Problem zu beheben, aktualisieren Sie in Ihrem S3-Zertifikat-Bucket die folgenden Tags in den Metadaten der Backup-Datei des privaten Schlüssels:

Schlüssel: x-amz-meta-rds-tde-pwd
Wert: Der CiphertextBlob-Wert aus der Generierung des Datenschlüssels

Fehler – Aufgabe wurde abgebrochen. Fehler bei der Sicherheitsprüfung des S3-Buckets. Die zugeordnete IAM-Rolle hat keine Berechtigung für den Zugriff auf den angegebenen S3-Bucket.

Dieser Fehler tritt auf, wenn das TDE-Zertifikat mit einer AWS Identity and Access Management (IAM)-Rolle gesichert oder wiederhergestellt wird, für die erforderliche Berechtigungen fehlen.

Um dieses Problem zu beheben, stellen Sie sicher, dass die IAM-Rolle sowohl ein Benutzer als auch ein Administrator für den AWS Key Management Service (AWS KMS)-Schlüssel ist. Zusätzlich zu den Berechtigungen, die für natives Backup und Wiederherstellen von SQL Server erforderlich sind, erfordert die IAM-Rolle auch die folgenden Berechtigungen:

s3:GetBucketACL, s3:GetBucketLocation und s3:ListBucket auf der S3-Bucket-Ressource
s3:ListAllMyBuckets auf der Ressource *

Weitere Informationen finden Sie unter Voraussetzungen für Backup und Wiederherstellung von TDE-Zertifikaten auf RDS für SQL Server.

Themen

Datenbank Migration und Modernisierung Analysen

Relevanter Inhalt

Wie aktiviere ich die Verschlüsselung im Ruhezustand für ein vorhandenes Amazon EFS-Dateisystem?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie konfiguriere ich Lambda-Funktionen als Ziele für Application Load Balancer und behebe damit verbundene Probleme?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich Fehler, wenn ich mit SageMaker Data Wrangler Daten in mein Amazon SageMaker Studio importiere?
AWS OFFICIALAktualisiert vor einem Jahr
Wie identifiziere ich Fehler im Zusammenhang mit der Daten-API in Amazon Redshift?
AWS OFFICIALAktualisiert vor einem Jahr