为 RDS for SQL Server 关闭 TDE
要为 RDS for SQL Server 数据库实例关闭 TDE,首先应确保数据库实例上没有留下加密的对象。为此,请解密对象或删除它们。如果该数据库实例中存在任何加密的对象,则您不能为该数据库实例关闭 TDE。当您使用控制台从选项组中删除 TDE 选项时,控制台会指明它正在处理。此外,如果选项组与加密数据库实例或数据库快照关联,则会创建一个错误事件。
下例从名为 customerDatabase
的数据库中删除 TDE 加密。
------------- Removing TDE ---------------- USE [customerDatabase] GO -- Turn off encryption of the database ALTER DATABASE [customerDatabase] SET ENCRYPTION OFF GO -- Wait until the encryption state of the database becomes 1. The state is 5 (Decryption in progress) for a while SELECT db_name(database_id) as DatabaseName, * FROM sys.dm_database_encryption_keys GO -- Drop the DEK used for encryption DROP DATABASE ENCRYPTION KEY GO -- Alter to SIMPLE Recovery mode so that your encrypted log gets truncated USE [master] GO ALTER DATABASE [customerDatabase] SET RECOVERY SIMPLE GO
解密所有对象后,您有两个选项:
-
您可以修改数据库实例,使其与没有 TDE 选项的选项组关联。
-
您可以从选项组中删除 TDE 选项。