RDS for SQL Server インスタンスで TDE をオンまたはオフにするにはどうすればよいですか? また、TDE でよくあるエラーをトラブルシューティングするにはどうすればよいですか?
Amazon Relational Database Service (Amazon RDS) for Microsoft SQL Server インスタンスオプショングループに、Transparent Data Encryption (TDE) オプションを含めたり、削除したりしたいと考えています。または、TDE をオフまたはオンにしたところ、RDS for SQL Server インスタンスで TDE に関連するエラーが発生しています。これらの問題を解決するにはどうすればよいですか?
簡単な説明
TDE は、データ (.mdf および .ndf) やトランザクションログファイル (.ldf) などのデータベースの物理ファイルを暗号化することにより、保管中のデータを保護します。TDE をオンにすると、TempDB は自動的に暗号化され、すべてのユーザー定義データベースによって一時オブジェクトの保存や処理に使用されます。
解決方法
TDE をオンにする
インスタンスで TDE をオンにするには、次の操作を実行します。
- DB インスタンスの現在の DB エンジンバージョンで TDE がサポートされていることを確認します。
- RDS for SQL Server の TDE をオンにします。
- データベース内のデータを暗号化します。
注: 証明書は、オプショングループに TDE オプションを追加して DB インスタンスに関連付けると自動的に作成されます。証明書は、既に関連付けられているオプショングループを変更して TDE オプションを追加した場合にも自動的に作成されます。DB インスタンスで TDE 証明書を手動で作成する必要はありません。
TDE をオフにする
TDE をオフにする方法については、「RDS for SQL Server の TDE をオフにする」を参照してください。
注: データベースで TDE をオフにした後、TempDB の暗号化を解除するには DB インスタンスを再起動する必要があります。
一般的なエラーのトラブルシューティング
エラー:「Cannot find server certificate with thumbprint '0x56CCEA7170BD5AFB02EB08C674XXXXXXXXXXXXXX'.RESTORE DATABASE is terminating abnormally.」(サムプリント「0x56CCEA7170BD5AFB02EB08C674XXXXXXXXXXXXXX」を持つサーバー証明書が見つかりません。RESTORE DATABASE が異常終了しています。)
このエラーは、TDE で暗号化されたソースデータベースを含むバックアップファイルを、元の SQL Server インスタンス以外の RDS for SQL Server インスタンスに復元するときに発生します。データベースを復元するには、ソース SQL Server インスタンスの TDE 証明書を、宛先である RDS for SQL Server DB インスタンスにインポートする必要があります。
TDE 証明書のバックアップと復元の詳細については、次を参照してください。
- RDS for SQL Server での TDE 証明書のバックアップと復元
- オンプレミスデータベースの TDE 証明書のバックアップと復元
- Migrate TDE-enabled SQL Server databases to Amazon RDS for SQL Server (TDE 対応の SQL サーバーデータベースを Amazon RDS for SQL Server に移行する)
Error - Msg 50000, Level 16, State 1, Procedure msdb.dbo.rds_restore_tde_certificate, Line 91 [Batch Start Line 0] TDE certificate restore isn't supported on Multi-AZ DB instances. (エラー - メッセージ 50000、レベル 16、状態 1、手順 msdb.dbo.rds_restore_tde_certificate、行 91 [バッチ開始行 0] TDE 証明書の復元は、マルチ AZ DB インスタンスではサポートされていません。)
このエラーは、マルチ AZ DB インスタンスで TDE 証明書を復元するときに発生します。TDE 証明書のバックアップと復元は、マルチ AZ DB インスタンスではサポートされていません。
詳細については、「RDS for SQL Server での TDE 証明書のバックアップと復元」の「制約事項」を参照してください。
このエラーを回避するには、DB インスタンスのマルチ AZ 配置をオフにします。その後、RDS DB インスタンスの TDE 証明書を復元します。
Error - Task execution has started.Task has been aborted.Private key password not found in S3 metadata. (エラー - タスクの実行が開始されました。タスクは中止されました。プライベートキーのパスワードが S3 メタデータで見つかりません。)
このエラーは、プライベートキーに含まれているメタデータが正しくない Amazon Simple Storage Service (Amazon S3) バケットからユーザー TDE 証明書をインポートするときに発生します。
この問題を解決するには、S3 証明書バケットで、プライベートキーバックアップファイルのメタデータの次のタグを更新します。
- キー: x-amz-meta-rds-tde-pwd
- 値: データキーの生成から得られた CiphertextBlob の値
Error - Task has been aborted.Error verifying S3 bucket security.The associated IAM role does not have permission to access the specified S3 bucket. (エラー - タスクは中止されました。S3 バケットのセキュリティの検証中にエラーが発生しました。関連付けられた IAM ロールには、指定された S3 バケットにアクセスするための許可がありません。)
このエラーは、必要な許可がない AWS Identity and Access Management (IAM) ロールで TDE 証明書をバックアップまたは復元するときに発生します。
この問題を解決するには、IAM ロールが AWS Key Management Service (AWS KMS) キーのユーザーであり管理者でもあることを確認します。SQL Server のネイティブバックアップと復元に必要な許可に加えて、IAM ロールには次の許可も必要です:
- S3 バケットリソース上の s3:GetBucketACL、s3:GetBucketLocation、s3:ListBucket
- * リソースの s3:ListAllMyBuckets
詳細については、「RDS for SQL Server での TDE 証明書のバックアップと復元」の「前提条件」を参照してください。
関連するコンテンツ
- 質問済み 6年前
