¿Cómo puedo desactivar o activar el TDE en mi instancia de RDS para SQL Server y cómo puedo solucionar sus errores más comunes?

5 minutos de lectura

Quiero incluir o eliminar la opción Cifrado de datos transparente (TDE) en mi grupo de opciones de instancias de Amazon Relational Database Service (Amazon RDS) para Microsoft SQL Server. O bien, he desactivado o activado el TDE y ahora estoy experimentando errores relacionados con él en mi instancia de RDS para SQL Server. ¿Cómo puedo resolver estos problemas?

Descripción corta

El TDE protege los datos en reposo cifrando los archivos físicos de la base de datos, como los datos (.mdf y .ndf) y el archivo de registro de transacciones (.ldf). Cuando el TDE está activado, TempDB se cifra automáticamente y todas las bases de datos definidas por el usuario lo utilizan para almacenar o procesar objetos temporales.

Resolución

Activación del TDE

Para activar el TDE en su instancia, haga lo siguiente:

Confirme que el TDE es compatible con la versión actual del motor de la base de datos de su instancia.
Active el TDE de RDS para SQL Server.
Cifre los datos de su base de datos.

Nota: El certificado se crea automáticamente al añadir la opción TDE al grupo de opciones y asociarla a la instancia de base de datos. El certificado también se crea automáticamente si modifica el grupo de opciones ya asociado y le agrega la opción TDE. No es necesario crear el certificado TDE manualmente en la instancia de base de datos.

Desactivación del TDE

Para obtener información sobre cómo desactivar el TDE, consulte Desactivación del TDE de RDS para SQL Server.

Nota: Después de desactivar el TDE en la base de datos, debe reiniciar la instancia de la base de datos para eliminar el cifrado de TempDB.

Solución de errores comunes

Error: “Cannot find server certificate with thumbprint '0x56CCEA7170BD5AFB02EB08C674XXXXXXXXXXXXXX'. RESTORE DATABASE finaliza de forma anormal.”

Este error se produce al restaurar un archivo de copia de seguridad con una base de datos de origen cifrada con TDE en una instancia de RDS para SQL Server distinta de la instancia original de SQL Server. Para restaurar la base de datos, el certificado de TDE de la instancia de SQL Server de origen debe importarse a la instancia de RDS para SQL Server DB de destino.

Para más información sobre la copia de seguridad y la restauración de certificados de TDE, consulte lo siguiente:

Error: Msg 50000, Level 16, State 1, Procedure msdb.dbo.rds_restore_tde_certificate, Line 91 [Batch Start Line 0] TDE certificate restore isn't supported on Multi-AZ DB instances (Msg 50 000, Nivel 16, Estado 1, Procedimiento msdb.dbo.rds_restore_tde_certificate, Línea 91 [Línea de inicio de lote 0] La restauración de certificados de TDE no es compatible con las instancias de base de datos Multi-AZ).

Este error se produce al restaurar un certificado TDE en una instancia de base de datos Multi-AZ. La copia de seguridad y la restauración de certificados de TDE no son compatibles con las instancias de base de datos Multi-AZ.

Para obtener más información, consulte Limitations (Limitaciones) en Copia de seguridad y restauración de certificados de TDE en RDS para SQL Server.

Para evitar este error, desactive la implementación Multi-AZ en su instancia de base de datos. A continuación, restaure el certificado de TDE en la instancia de la base de datos de RDS.

Error: Task execution has started. Task has been aborted. Private key password not found in S3 metadata. (Se ha iniciado la ejecución de la tarea. Se ha cancelado la tarea. La contraseña de clave privada no se encuentra en los metadatos de S3).

Este error se produce al importar certificados de TDE de usuario desde un bucket de Amazon Simple Storage Service (Amazon S3) con metadatos incorrectos en la clave privada.

Para resolver este problema, actualice las siguientes etiquetas en los metadatos del archivo de copia de seguridad de la clave privada en el bucket de certificados de S3:

Clave: x-amz-meta-rds-tde-pwd
Valor: el valor CipherTextBlob obtenido al generar la clave de datos

Error: Task has been aborted. Error verifying S3 bucket security. The associated IAM role does not have permission to access the specified S3 bucket. (Se ha cancelado la tarea. Error al comprobar la seguridad del bucket S3. El rol de IAM asociado no tiene permiso para acceder al bucket de S3 especificado.)

Este error se produce cuando se realiza una copia de seguridad o se restaura el certificado de TDE con un rol de AWS Identity and Access Management (IAM) al que le faltan los permisos necesarios.

Para resolver este problema, compruebe que el rol de IAM es tanto un usuario como un administrador de la clave de AWS Key Management Service (AWS KMS). Además de los permisos requeridos para la copia de seguridad y restauración nativa de SQL Server, el rol de IAM también requiere los siguientes permisos:

s3:GetBucketACL, s3:GetBucketLocation y s3:ListBucket en el recurso del bucket de S3
s3:ListAllMyBuckets en el recurso *

Para obtener más información, consulte Prerequisites (Requisitos previos) en Copia de seguridad y restauración de certificados de TDE en RDS para SQL Server.

Temas

Base de datos Migración y modernización Análisis

Etiquetas

Microsoft SQL Server Amazon Relational Database Service

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

¿Cómo puedo solucionar los problemas de consumo de almacenamiento en mi instancia de base de datos de RDS para SQL Server?
OFICIAL DE AWSActualizada hace 2 años
¿Cuáles son los problemas más comunes que pueden producirse cuando se utilizan la copia de seguridad y la restauración nativas en RDS para SQL Server?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo sincronizar los trabajos de SQL Server Agent entre los hosts principales y secundarios de mi instancia de RDS para SQL Server multi-AZ?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo restaurar un archivo de copia de seguridad cifrado o una copia de seguridad cifrada de Microsoft Azure en RDS para SQL Server desde un entorno local?
OFICIAL DE AWSActualizada hace 2 años