Como eu ativo ou desabilito a TDE na minha instância do RDS para SQL Server e como soluciono erros comuns nela?

Breve descrição

A TDE protege os dados em repouso criptografando os arquivos físicos do banco de dados, como arquivos de log de dados (.mdf e .ndf) e de transações (.ldf). Quando a TDE está ativada, o TempDB é automaticamente criptografado e usado por todos os bancos de dados definidos pelo usuário para armazenar ou processar objetos temporários.

Resolução

Ative a TDE

Para ativar a TDE em sua instância, faça o seguinte:

1. Confirme se a TDE é compatível com a versão atual do mecanismo de banco de dados da sua instância.
2. Ative a TDE no RDS para SQL Server.
3. Criptografe os dados no banco de dados.

Observação: o certificado é criado automaticamente quando você adiciona a opção TDE no grupo de opções e a associa à instância do banco de dados. O certificado também será criado automaticamente se você modificar o grupo de opções já associado e adicionar a opção TDE a ele. Não é necessário criar o certificado TDE manualmente na instância de banco do dados.

Desabilite a TDE

Para obter informações sobre como desabilitar a TDE, consulte Desabilitar a TDE no RDS para SQL Server.

Observação: depois de desabilitar a TDE no banco de dados, você deve reinicializar a instância do banco de dados para remover a criptografia de TempDB.

Solucione erros comuns

Erro: “Cannot find server certificate with thumbprint ‘0x56CCEA7170BD5AFB02EB08C674XXXXXXXXXXXXXX’. RESTORE DATABASE is terminating abnormally.” (“Não é possível encontrar o certificado do servidor com a impressão digital ‘0x56CCEA7170BD5AFB02EB08C674XXXXXXXXXXXXXX’. RESTORE DATABASE está sendo encerrado anormalmente).”

Esse erro ocorre ao restaurar um arquivo de backup com um banco de dados de origem criptografado pela TDE em uma instância do RDS para SQL Server diferente da instância original do SQL Server. Para restaurar o banco de dados, o certificado de TDE da instância de origem do SQL Server deve ser importado para a instância do banco de dados do RDS para SQL Server de destino.

Para obter mais informações sobre como fazer backup e restaurar certificados de TDE, consulte:

• Backing up and restoring TDE certificates on RDS for SQL Server (Fazer backup e restaurar certificados de TDE no RDS para SQL Server)
• Backing up and restoring TDE certificates for on-premises databases (Fazer backup e restaurar certificados de TDE para bancos de dados on-premises)
• Migrate TDE-enabled SQL Server databases to Amazon RDS for SQL Server (Migrar bancos de dados do SQL Server habilitados para TDE para o Amazon RDS para SQL Server)

Erro: Msg 50000, Level 16, State 1, Procedure msdb.dbo.rds_restore_tde_certificate, Line 91 [Batch Start Line 0] TDE certificate restore isn't supported on Multi-AZ DB instances (Mens. 50000, Nível 16, Estado 1, Procedimento msdb.dbo.rds_restore_tde_certificate, Linha 91 [Linha inicial do lote 0]: a restauração do certificado de TDE não tem suporte em instâncias de banco de dados multi-AZ).

Esse erro ocorre ao restaurar um certificado de TDE em uma instância de banco de dados multi-AZ. O backup e a restauração de certificados de TDE não tem suporte em instâncias de banco de dados multi-AZ.

Para obter mais informações, consulte Limitations (Limitações) em Backing up and restoring TDE certificates on RDS for SQL Server (Fazer backup e restaurar certificados de TDE no RDS para SQL Server).

Para evitar esse erro, desabilite a implantação multi-AZ na sua instância de banco de dados. Em seguida, restaure o certificado de TDE na instância de banco de dados do RDS.

Erro: Task execution has started. Task has been aborted. Private key password not found in S3 metadata. (A execução da tarefa foi iniciada. A tarefa foi abortada. A senha da chave privada não foi encontrada nos metadados do S3.)

Esse erro ocorre ao importar certificados de TDE de usuário de um bucket do Amazon Simple Storage Service (Amazon S3) com metadados incorretos na chave privada.

Para resolver esse problema, no bucket de certificados do S3, atualize as seguintes etiquetas nos metadados do arquivo de backup de chave privada:

• Chave: x-amz-meta-rds-tde-pwd
• Valor: o valor CiphertextBlob produzido pela geração da chave de dados

Erro: Task has been aborted. Error verifying S3 bucket security. The associated IAM role does not have permission to access the specified S3 bucket. (A tarefa foi abortada. Erro ao verificar a segurança do bucket do S3. O perfil do IAM associado não tem permissão para acessar o bucket S3 especificado.)

Esse erro ocorre ao fazer backup ou restaurar o certificado de TDE com um perfil do AWS Identity and Access Management (IAM) que não tenha as permissões necessárias.

Para resolver esse problema, verifique se o perfil do IAM é de usuário e de administrador para a chave do AWS Key Management Service (AWS KMS). Além das permissões necessárias para backup e restauração nativos do SQL Server, o perfil do IAM também exige as seguintes permissões:

• s3:GetBucketACL, s3:GetBucketLocation e s3:ListBucket no recurso de bucket do S3
• s3:ListAllMyBuckets no recurso *

Para obter mais informações, consulte Prerequisites (Pré-requisitos) em Backing up and restoring TDE certificates on RDS for SQL Server (Fazer backup e restaurar certificados de TDE no RDS para SQL Server).

---