Povolení funkce Always Encrypted se zabezpečenými enklávy ve službě Azure SQL Database

Platí pro:Azure SQL Database

Ve službě Azure SQL Database může funkce Always Encrypted se zabezpečenými enklávy používat enklávy Intel Software Guard Extensions (Intel SGX) nebo enklávy založené na virtualizaci (VBS). Další informace najdete v tématu Plánování zabezpečených enkláv ve službě Azure SQL Database.

Enklávy Intel SGX

Aby byla databáze Intel SGX dostupná, musí používat model virtuálních jader a hardware řady DC.

Za konfiguraci hardwaru řady DC-series, který umožňuje enklávy Intel SGX, zodpovídá správce služby Azure SQL Database. Další informace najdete v tématu Role a zodpovědnosti při konfiguraci enkláv Intel SGX a ověření identity.

Poznámka:

Intel SGX není k dispozici v hardwarových konfiguracích jiných než DC-series. Například Intel SGX není k dispozici pro hardware řady Standard (Gen5) a není k dispozici pro databáze používající model DTU.

Důležité

Před konfigurací hardwaru řady DC-series pro vaši databázi zkontrolujte regionální dostupnost řady DC-series a ujistěte se, že rozumíte jeho omezením výkonu. Další informace najdete v tématu DC-series.

Podrobné pokyny ke konfiguraci nové nebo existující databáze pro použití konkrétní konfigurace hardwaru najdete v tématu Konfigurace hardwaru.

Další kroky

• Konfigurace ověření identity Azure pro server databáze Azure SQL

Enklávy VBS

Ve výchozím nastavení se vytvoří nová databáze bez enkláv VBS. Pokud chcete povolit enklávu VBS ve vaší databázi nebo elastickém fondu, musíte nastavit vlastnost databáze preferredEnclaveTypena VBS, která aktivuje enklávu VBS pro databázi nebo elastický fond. Preferovaný typEnclaveType můžete nastavit při vytváření nové databáze nebo elastického fondu nebo aktualizací existující databáze nebo elastického fondu. Každá databáze, kterou přidáte do elastického fondu, zdědí vlastnost enklávy, jako je cíl úrovně služby databáze. Proto pokud přidáte databázi bez enklávy VBS s povoleným elastickým fondem s povoleným VBS, stane se tato nová databáze součástí elastického fondu a enklávy VBS budou v této databázi povoleny. Přidání databáze s enklávy VBS povolenými do elastického fondu bez enkláv VBS se nepodporuje.

Vlastnost preferredEnclaveType můžete nastavit pomocí webu Azure Portal, aplikace SQL Server Management Studio, Azure PowerShellu nebo Azure CLI.

Povolení enkláv VBS pomocí webu Azure Portal

Vytvoření nové databáze nebo elastického fondu pomocí enklávy VBS

1. Otevřete web Azure Portal a vyhledejte logický SQL Server, pro který chcete vytvořit databázi nebo elastický fond s enklávem VBS.

2. Vyberte Vytvořit databázi nebo tlačítko Nový elastický fond .

3. Na kartě Zabezpečení vyhledejte oddíl Always Encrypted.

4. Nastavte možnost Povolit zabezpečené enklávy na ZAPNUTO. Tím se vytvoří databáze s povolenou enklávou VBS.

   

Povolení enklávy VBS pro existující databázi nebo elastický fond

1. Otevřete Azure Portal a vyhledejte databázi nebo elastický fond, pro který chcete povolit zabezpečené enklávy.

2. Pro existující databázi:

   1. V nastavení zabezpečení vyberte Šifrování dat.

   2. V nabídce Šifrování dat vyberte kartu Always Encrypted.

   3. Nastavte možnost Povolit zabezpečené enklávy na ZAPNUTO.

      

   4. Vyberte Uložit a uložte konfiguraci funkce Always Encrypted.

3. Pro existující elastický fond:

   1. V Nastavení vyberte Konfigurace.

   2. V nabídce Konfigurace vyberte kartu Always Encrypted.

   3. Nastavte možnost Povolit zabezpečené enklávy na ZAPNUTO.

      

   4. Vyberte Uložit a uložte konfiguraci funkce Always Encrypted.

Povolení enkláv VBS pomocí aplikace SQL Server Management Studio

Stáhněte si nejnovější verzi aplikace SQL Server Management Studio (SSMS).

Vytvoření nové databáze pomocí enklávy VBS

1. Otevřete SSMS a připojte se k logickému serveru, na kterém chcete vytvořit databázi.
2. Klikněte pravým tlačítkem na složku Databáze a vyberte Nová databáze...
3. Na stránce Konfigurovat SLO nastavte možnost Povolit zabezpečené enklávy na ZAPNUTO. Tím se vytvoří databáze s povolenou enklávou VBS.

Povolení enklávy VBS pro existující databázi

1. Otevřete SSMS a připojte se k logickému serveru, na kterém chcete databázi upravit.
2. Klikněte pravým tlačítkem myši na databázi a vyberte Vlastnosti.
3. Na stránce Konfigurovat SLO nastavte možnost Povolit zabezpečené enklávy na ZAPNUTO.
4. Vyberte OK a uložte vlastnosti databáze.

Povolení enkláv VBS pomocí Azure PowerShellu

Vytvoření nové databáze nebo elastického fondu pomocí enklávy VBS

Vytvořte novou databázi s enklávou VBS pomocí rutiny New-AzSqlDatabase . Následující příklad vytvoří bezserverovou databázi s enklávem VBS.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Vytvořte nový elastický fond s enklávou VBS pomocí rutiny New-AzSqlElasticPool . Následující příklad vytvoří elastický fond s enklávem VBS.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Povolení enklávy VBS pro existující databázi nebo elastický fond

Pokud chcete povolit enklávu VBS pro existující databázi, použijte rutinu Set-AzSqlDatabase . Tady je příklad:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Pokud chcete povolit enklávu VBS pro existující elastický fond, použijte rutinu Set-AzSqlElasticPool . Tady je příklad:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Povolení enkláv VBS pomocí Azure CLI

Vytvoření nové databáze nebo elastického fondu pomocí enklávy VBS

Vytvořte novou databázi pomocí enklávy VBS pomocí rutiny az sql db create . Následující příklad vytvoří bezserverovou databázi s enklávem VBS.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Vytvořte nový elastický fond pomocí enklávy VBS pomocí rutiny az sql elastic-pool create . Následující příklad vytvoří bezserverovou databázi s enklávem VBS.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Povolení enklávy VBS pro existující databázi nebo elastický fond

Pokud chcete povolit enklávu VBS pro existující databázi, použijte rutinu az sql db update . Tady je příklad:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Pokud chcete povolit enklávu VBS pro existující elastický fond, použijte rutinu az sql elastic-pool update . Tady je příklad:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Viz také

• Začínáme používat funkci Always Encrypted se zabezpečenými enklávy