本頁面說明 SQL Server 適用的 Cloud SQL 中的透明資料加密 (TDE)。
SQL Server 適用的 Cloud SQL 支援使用 TDE 加密儲存在 SQL Server 適用的 Cloud SQL 執行個體中的資料。TDE 會在資料寫入儲存空間前自動加密,並在從儲存空間讀取資料時自動解密。
除了 Google 預設提供的靜態資料加密,以及 Google 選用的客戶自行管理的加密金鑰 (CMEK),在需要額外加密層級的情況下,可以使用 TDE。具體來說,您可以使用 TDE 協助您符合法規遵循要求,例如付款卡產業資料安全標準 (PCI DSS),或匯入/匯出加密備份時。
TDE 的運作方式
Cloud SQL for SQL Server 的 TDE 採用雙層金鑰架構,可管理加密金鑰。憑證是從資料庫主鍵產生,用來保護資料加密金鑰。資料庫加密金鑰會加密及解密使用者資料庫中的資料。Cloud SQL 會管理資料庫主鍵和 TDE 憑證。
每個符合資格的 SQL Server 適用的 Cloud SQL 執行個體,都會佈建有效期一年的專屬 TDE 憑證。SQL Server 適用的 Cloud SQL 會每年自動輪替這項憑證。
您可以將外部 TDE 憑證匯入執行個體,但必須手動輪替這些憑證。
如果執行個體有備用資源,系統會自動將所有 TDE 憑證 (包括 Cloud SQL 管理的憑證和您手動匯入的憑證) 分散到所有備用資源。
啟用 TDE 的執行個體會產生名為
gcloud_cloudsqladmin的內部資料庫。這個資料庫專供 Cloud SQL 內部程序使用,使用者無法存取,儲存的資料量極少,儲存費用也微不足道。SQL Server 適用的 Cloud SQL 在佈建 TDE 憑證時,會使用
gcloud_tde_system_命名前置字串。所有匯入的憑證都會使用
gcloud_tde_user_CERT_NAME_UUID 命名前置字元。在同時啟用 TDE 和時間點復原 (PITR) 的執行個體上匯入或輪替憑證後,執行個體會建立新的備份。如果您想將加密資料庫還原至執行個體可存取憑證之前的時間點,這有助於降低憑證遺失的風險。
限制
僅適用於下列資料庫版本的 SQL Server 適用的 Cloud SQL 執行個體:
- SQL Server Enterprise
- SQL Server 2019 以上版本 (Standard 版)
如果為啟用 VPC Service Controls 的執行個體使用 TDE,請務必確保主要執行個體和所有副本都位於同一個服務範圍內。
您無法刪除由 Cloud SQL 管理的 TDE 憑證。
使用中的 TDE 憑證無法刪除。
您無法直接將外部 TDE 憑證匯入副本執行個體。
每個執行個體最多可匯入 10 個 TDE 憑證。如要匯入更多憑證,請使用
msdb.dbo.gcloudsql_drop_tde_user_certificate預存程序刪除不必要的憑證。