Come posso attivare o disattivare TDE nella mia istanza RDS per SQL Server e come posso risolvere gli errori più comuni?
Desidero includere o rimuovere l'opzione Transparent Data Encryption (TDE) nel mio gruppo di istanze Amazon Relational Database Service (Amazon RDS) per Microsoft SQL Server. Oppure, ho attivato o disattivato TDE e ora si verificano errori relativi a TDE nella mia istanza RDS per SQL Server. Come posso risolvere questi errori?
Breve descrizione
TDE protegge i dati a riposo crittografando i file fisici del database, come i file di dati (.mdf e .ndf) e il file di registro delle transazioni (.ldf). Quando l'opzione TDE è attivata, TempDB viene crittografato automaticamente e utilizzato da tutti i database definiti dall'utente per archiviare o elaborare oggetti temporanei.
Risoluzione
Attiva TDE
Per attivare TDE nella tua istanza, procedi come segue:
- Verifica che l'opzione TDE sia supportata per l'attuale versione del motore database della tua istanza database.
- Attiva TDE per RDS per SQL Server.
- Crittografa i dati nel tuo database.
Nota: il certificato viene creato automaticamente quando si aggiunge l'opzione TDE nel gruppo di opzioni e la si associa all'istanza database. Il certificato viene creato automaticamente anche se si modifica il gruppo di opzioni già associato e si aggiunge l'opzione TDE. Non è necessario creare manualmente il certificato TDE sull'istanza database.
Disattiva TDE
Per informazioni su come disattivare TDE, consulta Disattivazione di TDE per RDS per SQL Server.
Nota: dopo aver disattivato TDE sul database, è necessario riavviare l'istanza database per rimuovere la crittografia per TempDB.
Risolvi gli errori più comuni
Errore: "Cannot find server certificate with thumbprint '0x56CCEA7170BD5AFB02EB08C674XXXXXXXXXXXXXX'. RESTORE DATABASE is terminating abnormally." (Impossibile trovare il certificato del server con identificazione personale '0x56CCEA7170BD5AFB02EB08C674XXXXXXXXXXXXXX'. RESTORE DATABASE sta terminando in modo anomalo.)
Questo errore si verifica quando si ripristina un file di backup con un database di origine crittografato con TDE su un'istanza RDS per SQL Server diversa dall'istanza SQL Server di origine. Per ripristinare il database, il certificato TDE dell'istanza SQL Server di origine deve essere importato nell'istanza database RDS per SQL Server di destinazione.
Per ulteriori informazioni sul backup e il ripristino dei certificati TDE, consulta quanto segue:
- Backup e ripristino dei certificati TDE su RDS per SQL Server
- Backup e ripristino dei certificati TDE per i database on-premise
- Migrate TDE-enabled SQL Server databases to Amazon RDS for SQL Server (Migrazione di database SQL Server abilitati per TDE ad Amazon RDS per SQL Server)
Errore: "Msg 50000, Level 16, State 1, Procedure msdb.dbo.rds_restore_tde_certificate, Line 91 [Batch Start Line 0] TDE certificate restore isn't supported on Multi-AZ DB instances." (Messaggio 50000, livello 16, stato 1, procedura msdb.dbo.rds_restore_tde_certificate, riga 91 [Batch Start Line 0] Il ripristino del certificato TDE non è supportato sulle istanze database Multi-AZ.)
Questo errore si verifica quando si ripristina un certificato TDE su un'istanza database Multi-AZ. Il backup e il ripristino dei certificati TDE non sono supportati sulle istanze database Multi-AZ.
Per ulteriori informazioni, consulta Limitazioni in Backup e ripristino dei certificati TDE su RDS per SQL Server.
Per evitare questo errore, disattiva l'implementazione Multi-AZ sull'istanza database. Quindi, ripristina il certificato TDE sull'istanza database RDS.
Errore: "Task execution has started. Task has been aborted. Private key password not found in S3 metadata." (L'esecuzione dell'operazione è iniziata. L'operazione è stata interrotta. La password della chiave privata non è stata trovata nei metadati S3.)
Questo errore si verifica quando si importano certificati TDE utente da un bucket Amazon Simple Storage Service (Amazon S3) con metadati errati nella chiave privata.
Per risolvere questo problema, nel bucket di certificati S3, aggiorna i seguenti tag nei metadati del file di backup della chiave privata:
- Chiave: x-amz-meta-rds-tde-pwd
- Valore: il valore CipherTextBlob derivante dalla generazione della chiave di dati
Errore: "Task has been aborted. Error verifying S3 bucket security. The associated IAM role does not have permission to access the specified S3 bucket." (L'operazione è stata interrotta. Errore durante la verifica della sicurezza del bucket S3. Il ruolo IAM associato non dispone dell'autorizzazione per accedere al bucket S3 specificato.)
Questo errore si verifica quando si esegue il backup o il ripristino del certificato TDE con un ruolo AWS Identity and Access Management (IAM) che non dispone delle autorizzazioni richieste.
Per risolvere questo problema, verifica che il ruolo IAM sia sia utente che amministratore per la chiave del Servizio di gestione delle chiavi AWS (AWS KMS). Oltre alle autorizzazioni necessarie per il backup e il ripristino nativi di SQL Server, il ruolo IAM richiede anche le seguenti autorizzazioni:
- s3:GetBucketACL, s3:GetBucketLocation e s3:ListBucket sulla risorsa del bucket S3
- s3:ListAllMyBuckets sulla risorsa *
Per ulteriori informazioni, consulta i Prerequisiti per il Backup e il ripristino dei certificati TDE su RDS per SQL Server.
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa