Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
MySQL | PostgreSQL | SQL Server
Auf dieser Seite wird die transparente Datenverschlüsselung (Transparent Data Encryption, TDE) in Cloud SQL for SQL Server beschrieben.
Cloud SQL for SQL Server unterstützt die Verwendung von TDE zum Verschlüsseln von Daten, die in Ihren Cloud SQL for SQL Server-Instanzen gespeichert sind. TDE verschlüsselt Daten automatisch, bevor sie in den Speicher geschrieben werden, und entschlüsselt Daten automatisch, wenn sie aus dem Speicher gelesen werden.
TDE wird in Szenarien verwendet, in denen zusätzlich zum Standardangebot von Google zur Verschlüsselung ruhender Daten und zum optionalen Angebot von Google zu vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) eine weitere Verschlüsselungsebene erforderlich ist.
Insbesondere können Sie TDE verwenden, um die Anforderungen an die Einhaltung von Vorschriften wie den Payment Card Industry Data Security Standard (PCI DSS) zu erfüllen oder verschlüsselte Sicherungen zu importieren oder zu exportieren.
Funktionsweise von TDE
TDE für Cloud SQL for SQL Server bietet die Verwaltung von Verschlüsselungsschlüsseln mithilfe einer zweistufigen Schlüsselarchitektur. Ein Zertifikat, das aus dem primären Datenbankschlüssel generiert wird, wird zum Schutz der Datenverschlüsselungsschlüssel verwendet. Mit dem Schlüssel für die Datenbankverschlüsselung werden Daten in der Nutzerdatenbank verschlüsselt und entschlüsselt. Cloud SQL verwaltet sowohl den primären Datenbankschlüssel als auch das TDE-Zertifikat.
Für jede berechtigte Cloud SQL for SQL Server-Instanz wird ein eindeutiges TDE-Zertifikat bereitgestellt, das ein Jahr lang gültig ist. Cloud SQL for SQL Server rotiert dieses Zertifikat automatisch jährlich.
Sie können externe TDE-Zertifikate in die Instanz importieren, müssen diese jedoch manuell rotieren.
Wenn die Instanz Replikate hat, werden alle TDE-Zertifikate, einschließlich der von Cloud SQL verwalteten und der manuell importierten, automatisch auf alle Replikate verteilt.
Für Instanzen mit aktivierter TDE wird eine interne Datenbank mit dem Namen gcloud_cloudsqladmin generiert. Diese Datenbank ist für interne Cloud SQL-Prozesse reserviert, ist für Nutzer nicht zugänglich, speichert nur minimale Daten und verursacht nur geringe Speicherkosten.
Cloud SQL for SQL Server verwendet das Namenspräfix gcloud_tde_system_ beim Bereitstellen eines TDE-Zertifikats.
Für alle importierten Zertifikate wird das Namenspräfix gcloud_tde_user_CERT_NAME_UUID verwendet.
Nachdem Sie ein Zertifikat in eine Instanz importiert oder rotiert haben, in der sowohl TDE als auch die Wiederherstellung zu einem bestimmten Zeitpunkt (Point-In-Time Recovery, PITR) aktiviert sind, wird für die Instanz eine neue Sicherung erstellt. So verringern Sie das Risiko eines Zertifikatsverlusts, wenn Sie eine verschlüsselte Datenbank zu einem Zeitpunkt wiederherstellen möchten, bevor das Zertifikat für die Instanz verfügbar war.
Beschränkungen
Nur in Cloud SQL for SQL Server-Instanzen mit den folgenden Datenbankversionen verfügbar:
SQL Server Enterprise
SQL Server 2019 oder höher (Standard Edition)
Wenn TDE für eine Instanz mit Replikaten verwendet wird und VPC Service Controls aktiviert sind, müssen sich die primäre Instanz und alle Replikate im selben Dienstperimeter befinden.
Sie können kein von Cloud SQL verwaltetes TDE-Zertifikat löschen.
Sie können ein TDE-Zertifikat nicht löschen, während es verwendet wird.
Sie können externe TDE-Zertifikate nicht direkt in Replikatinstanzen importieren.
Sie können bis zu zehn TDE-Zertifikate pro Instanz importieren. Wenn Sie weitere Zertifikate importieren müssen, löschen Sie alle unnötigen Zertifikate mit der gespeicherten Prozedur msdb.dbo.gcloudsql_drop_tde_user_certificate.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[],[],null,["# About transparent data encryption (TDE)\n\n\u003cbr /\u003e\n\nMySQL \\| PostgreSQL \\| SQL Server\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nThis page describes transparent data encryption (TDE) in Cloud SQL for SQL Server.\n\nCloud SQL for SQL Server supports using TDE to encrypt data stored in your\nCloud SQL for SQL Server instances. TDE automatically encrypts data\nbefore it is written to storage, and automatically decrypts data when the data\nis read from storage.\n\nTDE is used in scenarios where another layer of encryption is\nrequired in addition to Google's default offering of [encryption for data at rest](/docs/security/encryption/default-encryption)\nand Google's optional offering of [Customer-managed encryption keys (CMEK)](/sql/docs/sqlserver/cmek).\nSpecifically, you can use TDE to help you meet regulatory compliance\nrequirements such as Payment Card Industry Data Security Standard (PCI DSS)\nor when importing or exporting encrypted backups.\n\nHow TDE works\n-------------\n\nTDE for Cloud SQL for SQL Server provides encryption key management by\nusing a two-tier key architecture. A certificate, which is generated from the\ndatabase primary key, is used to protect the data encryption keys. The database\nencryption key performs the encryption and decryption of data on the user\ndatabase. Cloud SQL manages both the database primary key and the\nTDE certificate.\n\n- Each eligible Cloud SQL for SQL Server instance is provisioned with a unique\n TDE certificate that's valid for one year. Cloud SQL for SQL Server\n automatically rotates this certificate annually.\n\n- You can import external TDE certificates to the instance, but you\n must rotate these manually.\n\n- If the instance has replicas, then all TDE certificates,\n including those managed by Cloud SQL and those you imported manually,\n are automatically distributed across all replicas.\n\n- Instances with TDE enabled generate an internal database called\n `gcloud_cloudsqladmin`. This database is reserved for internal\n Cloud SQL processes, isn't accessible to users, stores minimal data,\n and has negligible storage cost.\n\n- Cloud SQL for SQL Server uses the `gcloud_tde_system_` naming prefix when\n provisioning a TDE certificate.\n\n- Any imported certificates use the\n `gcloud_tde_user_`\u003cvar translate=\"no\"\u003eCERT_NAME\u003c/var\u003e`_`\u003cvar translate=\"no\"\u003eUUID\u003c/var\u003e\n naming prefix.\n\n- After you either import or rotate a certificate on an instance that\n has both TDE and point-in-time recovery (PITR) enabled, the instance creates a\n new backup. This helps reduce the risk of certificate loss if and when you want\n to restore an encrypted database to a point in time before the certificate was\n accessible to the instance.\n\nLimitations\n-----------\n\n- Available only in Cloud SQL for SQL Server instances with the following database\n [versions](/sql/docs/sqlserver/editions-intro#edition-features):\n\n - SQL Server Enterprise\n - SQL Server 2019 or later (Standard edition)\n- If TDE is used for an instance with replicas and\n VPC Service Controls are enabled, then you must ensure the primary instance\n and all replicas are within the same service perimeter.\n\n For more information, see [Configure VPC Service Controls](/sql/docs/sqlserver/admin-api/configure-service-controls)\n and [Overview of VPC Service Controls](/vpc-service-controls/docs/overview).\n- You can't delete a TDE certificate that is managed by\n Cloud SQL.\n\n- You can't delete a TDE certificate while it is in use.\n\n- You can't directly import external TDE certificates to replica\n instances.\n\n- You can import up to ten TDE certificates per instance. If you\n need to import more, delete any unnecessary certificates using the\n `msdb.dbo.gcloudsql_drop_tde_user_certificate` stored procedure.\n\nWhat's next\n-----------\n\n- [Use TDE](/sql/docs/sqlserver/use-tde)"]]
