Comment activer ou désactiver TDE dans mon instance RDS pour SQL Server et comment puis-je résoudre les erreurs les plus courantes ?

Lecture de 5 minute(s)

Je souhaite inclure ou supprimer l'option Transparent Data Encryption (TDE) dans mon groupe d'options d'instance Amazon Relational Database Service (Amazon RDS) pour Microsoft SQL Server. Ou bien, j'ai activé ou désactivé le TDE et je rencontre maintenant des erreurs liées à TDE dans mon instance RDS pour SQL Server. Comment puis-je résoudre ces erreurs ?

Brève description

TDE protège les données au repos en cryptant les fichiers physiques de la base de données, tels que les données (.mdf et .ndf) et le journal des transactions (.ldf). Lorsque TDE est activé, TempDB est automatiquement crypté et est utilisé par toutes les bases de données définies par l'utilisateur pour stocker ou traiter des objets temporaires.

Solution

Activer TDE

Pour activer TDE dans votre instance, procédez comme suit :

Remarque : Le certificat est automatiquement créé lorsque vous ajoutez l'option TDE dans le groupe d'options et que vous l'associez à l'instance de base de données. Le certificat est également créé automatiquement si vous modifiez le groupe d'options déjà associé et y ajoutez l'option TDE. Il n'est pas nécessaire de créer le certificat TDE manuellement sur l'instance de base de données.

Désactiver TDE

Pour plus d'informations sur la façon de désactiver TDE, consultez la section Désactivation de TDE pour RDS pour SQL Server.

Remarque : Après avoir désactivé TDE sur la base de données, vous devez redémarrer l'instance de base de données pour supprimer le chiffrement de TempDB.

Résolution des erreurs courantes

Erreur : « Impossible de trouver le certificat de serveur avec l'empreinte numérique '0x56ccea7170bd5afb02eb08c674xxxxxxxxxxxxxxxx'. RESTORE DATABASE s'arrête anormalement.»

Cette erreur se produit lors de la restauration d'un fichier de sauvegarde avec une base de données source cryptée TDE vers une instance RDS pour SQL Server autre que l'instance SQL Server d'origine. Pour restaurer la base de données, le certificat TDE de l'instance source de SQL Server doit être importé vers l'instance de base de données RDS for SQL Server de destination.

Pour plus d'informations sur la sauvegarde et la restauration des certificats TDE, consultez les rubriques suivantes :

Erreur : message 50000, niveau 16, état 1, procédure msdb.dbo.rds_restore_tde_certificate, ligne 91 [ligne de démarrage par lots 0] La restauration de certificats TDE n'est pas prise en charge sur les instances de base de données multi-AZ.

Cette erreur se produit lors de la restauration d'un certificat TDE sur une instance de base de données multi-AZ. La sauvegarde et la restauration des certificats TDE ne sont pas prises en charge sur les instances DB multi-AZ.

Pour plus d'informations, voir Limitations relatives à la sauvegarde et à la restauration de certificats TDE sur RDS pour SQL Server.

Pour éviter cette erreur, désactivez le déploiement multi-AZ sur votre instance de base de données. Restaurez ensuite le certificat TDE sur l'instance de base de données RDS.

Erreur - L'exécution de la tâche a commencé. La tâche a été abandonnée. Mot de passe de clé privée introuvable dans les métadonnées S3.

Cette erreur se produit lors de l'importation de certificats TDE utilisateur à partir d'un compartiment Amazon Simple Storage Service (Amazon S3) avec des métadonnées incorrectes dans la clé privée.

Pour résoudre ce problème, dans votre compartiment de certificats S3, mettez à jour les balises suivantes dans les métadonnées du fichier de sauvegarde de clé privée :

Clé : x-amz-meta-rds-tde-pwd
Valeur : La valeur CipherTextBlob issue de la génération de la clé de données

Erreur - La tâche a été abandonnée. Erreur de vérification de la sécurité du compartiment S3. Le rôle IAM associé n'est pas autorisé à accéder au compartiment S3 spécifié.

Cette erreur se produit lors de la sauvegarde ou de la restauration du certificat TDE avec un rôle AWS Identity and Access Management (IAM) qui ne dispose pas des autorisations requises.

Pour résoudre ce problème, vérifiez que le rôle IAM est à la fois un utilisateur et un administrateur pour la clé AWS Key Management Service (AWS KMS). Outre les autorisations requises pour la sauvegarde et la restauration natives de SQL Server, le rôle IAM nécessite également les autorisations suivantes :

s3:GetBucketAcl, s3:GetBucketLocation et s3:ListBucket sur la ressource du bucket S3
S3 : ListAllMyBuckets sur la ressource*

Pour plus d'informations, consultez les Conditions préalables à la sauvegarde et à la restauration des certificats TDE sur RDS pour SQL Server.

Sujets

Base de données Migration et modernisation Analytique

Balises

Microsoft SQL Server Amazon Relational Database Service

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

Quels services AWS sont nécessaires pour remplacer une base de données MySQL classique ?
rePost-User-8854683
demandé il y a un an
Comment s'assurer que toutes les ressources sont désactivées ?
rePost-User-2282818
demandé il y a un an
mon serveur arrête subitement de marcher sans que je ne fasse rien, plus possible d'utiliser SSH et l accès http web
ciao
demandé il y a 2 mois
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un an
Création de tables SQL
yannick
demandé il y a 8 mois
Comment puis-je activer et désactiver Service Broker pour Amazon RDS SQL Server ?
AWS OFFICIELA mis à jour il y a 4 ans
Comment synchroniser les tâches de l'Agent SQL Server entre les hôtes principal et secondaire de mon instance RDS pour SQL Server Multi-AZ ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment résoudre les problèmes liés à l'utilisation de mon identifiant Active Directory sur site pour mon instance RDS for SQL Server ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je résoudre les problèmes de consommation de stockage dans mon instance de base de données RDS pour SQL Server ?
AWS OFFICIELA mis à jour il y a 2 ans