Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
MySQL | PostgreSQL | SQL Server
Halaman ini menjelaskan enkripsi data transparan (TDE) di Cloud SQL untuk SQL Server.
Cloud SQL untuk SQL Server mendukung penggunaan TDE untuk mengenkripsi data yang disimpan di instance Cloud SQL untuk SQL Server Anda. TDE otomatis mengenkripsi data
sebelum ditulis ke penyimpanan, dan otomatis mendekripsi data saat data
dibaca dari penyimpanan.
TDE digunakan dalam skenario ketika lapisan enkripsi lain diperlukan selain penawaran default Google berupa enkripsi untuk data dalam penyimpanan dan penawaran opsional Google berupa Kunci enkripsi yang dikelola pelanggan (CMEK).
Secara khusus, Anda dapat menggunakan TDE untuk membantu memenuhi persyaratan kepatuhan terhadap peraturan seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) atau saat mengimpor atau mengekspor cadangan terenkripsi.
Cara kerja TDE
TDE untuk Cloud SQL untuk SQL Server menyediakan pengelolaan kunci enkripsi dengan
menggunakan arsitektur kunci dua tingkat. Sertifikat, yang dibuat dari kunci primer database, digunakan untuk melindungi kunci enkripsi data. Kunci enkripsi database melakukan enkripsi dan dekripsi data di database pengguna. Cloud SQL mengelola kunci utama database dan
sertifikat TDE.
Setiap instance Cloud SQL untuk SQL Server yang memenuhi syarat disediakan dengan sertifikat TDE unik yang berlaku selama satu tahun. Cloud SQL untuk SQL Server
secara otomatis mengganti sertifikat ini setiap tahun.
Anda dapat mengimpor sertifikat TDE eksternal ke instance, tetapi Anda harus merotasinya secara manual.
Jika instance memiliki replika, semua sertifikat TDE,
termasuk yang dikelola oleh Cloud SQL dan yang Anda impor secara manual,
akan otomatis didistribusikan ke semua replika.
Instance dengan TDE yang diaktifkan akan menghasilkan database internal yang disebut
gcloud_cloudsqladmin. Database ini dicadangkan untuk proses Cloud SQL internal, tidak dapat diakses oleh pengguna, menyimpan data minimal, dan memiliki biaya penyimpanan yang dapat diabaikan.
Cloud SQL untuk SQL Server menggunakan awalan penamaan gcloud_tde_system_ saat
menyediakan sertifikat TDE.
Semua sertifikat yang diimpor menggunakan awalan penamaan
gcloud_tde_user_CERT_NAME_UUID.
Setelah Anda mengimpor atau merotasi sertifikat pada instance yang
mengaktifkan TDE dan pemulihan point-in-time (PITR), instance tersebut akan membuat
cadangan baru. Hal ini membantu mengurangi risiko kehilangan sertifikat jika dan saat Anda ingin memulihkan database terenkripsi ke titik waktu sebelum sertifikat dapat diakses oleh instance.
Batasan
Hanya tersedia di instance Cloud SQL untuk SQL Server dengan versi database berikut:
SQL Server Enterprise
SQL Server 2019 atau yang lebih baru (Edisi Standard)
Jika TDE digunakan untuk instance dengan replika dan Kontrol Layanan VPC diaktifkan, Anda harus memastikan instance utama dan semua replika berada dalam perimeter layanan yang sama.
Anda tidak dapat menghapus sertifikat TDE yang dikelola oleh
Cloud SQL.
Anda tidak dapat menghapus sertifikat TDE saat sedang digunakan.
Anda tidak dapat mengimpor sertifikat TDE eksternal secara langsung ke instance replika.
Anda dapat mengimpor hingga sepuluh sertifikat TDE per instance. Jika Anda
perlu mengimpor lebih banyak, hapus sertifikat yang tidak diperlukan menggunakan
prosedur tersimpan msdb.dbo.gcloudsql_drop_tde_user_certificate.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-08-19 UTC."],[],[],null,["# About transparent data encryption (TDE)\n\n\u003cbr /\u003e\n\nMySQL \\| PostgreSQL \\| SQL Server\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nThis page describes transparent data encryption (TDE) in Cloud SQL for SQL Server.\n\nCloud SQL for SQL Server supports using TDE to encrypt data stored in your\nCloud SQL for SQL Server instances. TDE automatically encrypts data\nbefore it is written to storage, and automatically decrypts data when the data\nis read from storage.\n\nTDE is used in scenarios where another layer of encryption is\nrequired in addition to Google's default offering of [encryption for data at rest](/docs/security/encryption/default-encryption)\nand Google's optional offering of [Customer-managed encryption keys (CMEK)](/sql/docs/sqlserver/cmek).\nSpecifically, you can use TDE to help you meet regulatory compliance\nrequirements such as Payment Card Industry Data Security Standard (PCI DSS)\nor when importing or exporting encrypted backups.\n\nHow TDE works\n-------------\n\nTDE for Cloud SQL for SQL Server provides encryption key management by\nusing a two-tier key architecture. A certificate, which is generated from the\ndatabase primary key, is used to protect the data encryption keys. The database\nencryption key performs the encryption and decryption of data on the user\ndatabase. Cloud SQL manages both the database primary key and the\nTDE certificate.\n\n- Each eligible Cloud SQL for SQL Server instance is provisioned with a unique\n TDE certificate that's valid for one year. Cloud SQL for SQL Server\n automatically rotates this certificate annually.\n\n- You can import external TDE certificates to the instance, but you\n must rotate these manually.\n\n- If the instance has replicas, then all TDE certificates,\n including those managed by Cloud SQL and those you imported manually,\n are automatically distributed across all replicas.\n\n- Instances with TDE enabled generate an internal database called\n `gcloud_cloudsqladmin`. This database is reserved for internal\n Cloud SQL processes, isn't accessible to users, stores minimal data,\n and has negligible storage cost.\n\n- Cloud SQL for SQL Server uses the `gcloud_tde_system_` naming prefix when\n provisioning a TDE certificate.\n\n- Any imported certificates use the\n `gcloud_tde_user_`\u003cvar translate=\"no\"\u003eCERT_NAME\u003c/var\u003e`_`\u003cvar translate=\"no\"\u003eUUID\u003c/var\u003e\n naming prefix.\n\n- After you either import or rotate a certificate on an instance that\n has both TDE and point-in-time recovery (PITR) enabled, the instance creates a\n new backup. This helps reduce the risk of certificate loss if and when you want\n to restore an encrypted database to a point in time before the certificate was\n accessible to the instance.\n\nLimitations\n-----------\n\n- Available only in Cloud SQL for SQL Server instances with the following database\n [versions](/sql/docs/sqlserver/editions-intro#edition-features):\n\n - SQL Server Enterprise\n - SQL Server 2019 or later (Standard edition)\n- If TDE is used for an instance with replicas and\n VPC Service Controls are enabled, then you must ensure the primary instance\n and all replicas are within the same service perimeter.\n\n For more information, see [Configure VPC Service Controls](/sql/docs/sqlserver/admin-api/configure-service-controls)\n and [Overview of VPC Service Controls](/vpc-service-controls/docs/overview).\n- You can't delete a TDE certificate that is managed by\n Cloud SQL.\n\n- You can't delete a TDE certificate while it is in use.\n\n- You can't directly import external TDE certificates to replica\n instances.\n\n- You can import up to ten TDE certificates per instance. If you\n need to import more, delete any unnecessary certificates using the\n `msdb.dbo.gcloudsql_drop_tde_user_certificate` stored procedure.\n\nWhat's next\n-----------\n\n- [Use TDE](/sql/docs/sqlserver/use-tde)"]]
