Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
MySQL | PostgreSQL | SQL Server
Nesta página, descrevemos a criptografia de dados transparente (TDE, na sigla em inglês) no Cloud SQL para SQL Server.
O Cloud SQL para SQL Server oferece suporte ao uso da TDE para criptografar dados armazenados nas instâncias do Cloud SQL para SQL Server. A TDE criptografa automaticamente os dados antes de serem gravados no armazenamento e descriptografa automaticamente os dados quando são lidos do armazenamento.
A TDE é usada em cenários em que outra camada de criptografia é necessária além da oferta padrão do Google de criptografia para dados em repouso e da oferta opcional do Google de chaves de criptografia gerenciadas pelo cliente (CMEK).
Especificamente, é possível usar a TDE para atender aos requisitos de conformidade regulatória, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), ou ao importar ou exportar backups criptografados.
Como a TDE funciona
A TDE para Cloud SQL para SQL Server oferece gerenciamento de chaves de criptografia usando uma arquitetura de chaves de dois níveis. Um certificado, que é gerado da chave primária do banco de dados, é usado para proteger as chaves de criptografia de dados. A chave de criptografia do banco de dados criptografa e descriptografa os dados no banco de dados do usuário. O Cloud SQL gerencia a chave primária do banco de dados e o certificado TDE.
Cada instância qualificada do Cloud SQL para SQL Server é provisionada com um certificado TDE exclusivo válido por um ano. O Cloud SQL para SQL Server
gira automaticamente esse certificado anualmente.
É possível importar certificados TDE externos para a instância, mas é necessário fazer a rotação deles manualmente.
Se a instância tiver réplicas, todos os certificados de TDE, incluindo os gerenciados pelo Cloud SQL e os importados manualmente, serão distribuídos automaticamente entre todas as réplicas.
As instâncias com TDE ativado geram um banco de dados interno chamado gcloud_cloudsqladmin. Esse banco de dados é reservado para processos internos do Cloud SQL, não é acessível aos usuários, armazena dados mínimos e tem um custo de armazenamento insignificante.
O Cloud SQL para SQL Server usa o prefixo de nomenclatura gcloud_tde_system_ ao
provisionar um certificado TDE.
Todos os certificados importados usam o prefixo de nomenclatura
gcloud_tde_user_CERT_NAME_UUID.
Depois de importar ou girar um certificado em uma instância que
tem TDE e recuperação pontual (PITR) ativados, a instância cria um
novo backup. Isso ajuda a reduzir o risco de perda de certificado se e quando você quiser
restaurar um banco de dados criptografado para um momento antes que o certificado estivesse
acessível à instância.
Limitações
Disponível apenas em instâncias do Cloud SQL para SQL Server com as seguintes versões de banco de dados:
SQL Server Enterprise
SQL Server 2019 ou mais recente (edição Standard)
Se a TDE for usada em uma instância com réplicas e o VPC Service Controls estiver ativado, verifique se a instância principal e todas as réplicas estão no mesmo perímetro de serviço.
Não é possível excluir um certificado TDE gerenciado pelo Cloud SQL.
Não é possível excluir um certificado TDE enquanto ele está em uso.
Não é possível importar diretamente certificados TDE externos para instâncias de réplica.
É possível importar até dez certificados de TDE por instância. Se você
precisar importar mais, exclua os certificados desnecessários usando o
procedimento armazenado msdb.dbo.gcloudsql_drop_tde_user_certificate.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[],[],null,["# About transparent data encryption (TDE)\n\n\u003cbr /\u003e\n\nMySQL \\| PostgreSQL \\| SQL Server\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nThis page describes transparent data encryption (TDE) in Cloud SQL for SQL Server.\n\nCloud SQL for SQL Server supports using TDE to encrypt data stored in your\nCloud SQL for SQL Server instances. TDE automatically encrypts data\nbefore it is written to storage, and automatically decrypts data when the data\nis read from storage.\n\nTDE is used in scenarios where another layer of encryption is\nrequired in addition to Google's default offering of [encryption for data at rest](/docs/security/encryption/default-encryption)\nand Google's optional offering of [Customer-managed encryption keys (CMEK)](/sql/docs/sqlserver/cmek).\nSpecifically, you can use TDE to help you meet regulatory compliance\nrequirements such as Payment Card Industry Data Security Standard (PCI DSS)\nor when importing or exporting encrypted backups.\n\nHow TDE works\n-------------\n\nTDE for Cloud SQL for SQL Server provides encryption key management by\nusing a two-tier key architecture. A certificate, which is generated from the\ndatabase primary key, is used to protect the data encryption keys. The database\nencryption key performs the encryption and decryption of data on the user\ndatabase. Cloud SQL manages both the database primary key and the\nTDE certificate.\n\n- Each eligible Cloud SQL for SQL Server instance is provisioned with a unique\n TDE certificate that's valid for one year. Cloud SQL for SQL Server\n automatically rotates this certificate annually.\n\n- You can import external TDE certificates to the instance, but you\n must rotate these manually.\n\n- If the instance has replicas, then all TDE certificates,\n including those managed by Cloud SQL and those you imported manually,\n are automatically distributed across all replicas.\n\n- Instances with TDE enabled generate an internal database called\n `gcloud_cloudsqladmin`. This database is reserved for internal\n Cloud SQL processes, isn't accessible to users, stores minimal data,\n and has negligible storage cost.\n\n- Cloud SQL for SQL Server uses the `gcloud_tde_system_` naming prefix when\n provisioning a TDE certificate.\n\n- Any imported certificates use the\n `gcloud_tde_user_`\u003cvar translate=\"no\"\u003eCERT_NAME\u003c/var\u003e`_`\u003cvar translate=\"no\"\u003eUUID\u003c/var\u003e\n naming prefix.\n\n- After you either import or rotate a certificate on an instance that\n has both TDE and point-in-time recovery (PITR) enabled, the instance creates a\n new backup. This helps reduce the risk of certificate loss if and when you want\n to restore an encrypted database to a point in time before the certificate was\n accessible to the instance.\n\nLimitations\n-----------\n\n- Available only in Cloud SQL for SQL Server instances with the following database\n [versions](/sql/docs/sqlserver/editions-intro#edition-features):\n\n - SQL Server Enterprise\n - SQL Server 2019 or later (Standard edition)\n- If TDE is used for an instance with replicas and\n VPC Service Controls are enabled, then you must ensure the primary instance\n and all replicas are within the same service perimeter.\n\n For more information, see [Configure VPC Service Controls](/sql/docs/sqlserver/admin-api/configure-service-controls)\n and [Overview of VPC Service Controls](/vpc-service-controls/docs/overview).\n- You can't delete a TDE certificate that is managed by\n Cloud SQL.\n\n- You can't delete a TDE certificate while it is in use.\n\n- You can't directly import external TDE certificates to replica\n instances.\n\n- You can import up to ten TDE certificates per instance. If you\n need to import more, delete any unnecessary certificates using the\n `msdb.dbo.gcloudsql_drop_tde_user_certificate` stored procedure.\n\nWhat's next\n-----------\n\n- [Use TDE](/sql/docs/sqlserver/use-tde)"]]
