Povolení funkce Always Encrypted se zabezpečenými enklávy ve službě Azure SQL Database

Platí pro:Azure SQL Database

Ve službě Azure SQL Database může funkce Always Encrypted se zabezpečenými enklávy používat enklávy Intel Software Guard Extensions (Intel SGX) nebo enklávy založené na virtualizaci (VBS). Další informace najdete v tématu Plánování zabezpečených enkláv ve službě Azure SQL Database.

Enklávy Intel SGX

Aby byl Intel SGX dostupný, databáze musí používat model vCore a hardware řady DC.

Za konfiguraci hardwaru řady DC-series, který umožňuje enklávy Intel SGX, zodpovídá správce služby Azure SQL Database. Další informace najdete v tématu Role a zodpovědnosti při konfiguraci enkláv Intel SGX a ověření identity.

Poznámka:

Intel SGX není k dispozici v hardwarových konfiguracích jiných než DC-series. Například Intel SGX není k dispozici pro hardware řady Standard (Gen5) a není k dispozici pro databáze využívající nákupní model DTU.

Důležité

Před konfigurací hardwaru řady DC-series pro vaši databázi zkontrolujte regionální dostupnost řady DC-series a ujistěte se, že rozumíte jeho omezením výkonu. Další informace najdete v tématu DC-series.

Podrobné pokyny ke konfiguraci nové nebo existující databáze pro použití konkrétní konfigurace hardwaru najdete v tématu Konfigurace hardwaru.

Další informace najdete v tématu Konfigurace atestace pro Always Encrypted pomocí služby Azure Attestation.

Enklávy VBS

Ve výchozím nastavení se vytvoří nová databáze bez enkláv VBS. Pokud chcete povolit enklávu VBS ve vaší databázi nebo elastickém fondu, musíte nastavit vlastnost databázepreferredEnclaveType na VBS, čímž se aktivuje enkláva VBS pro databázi nebo elastický fond. Preferovaný typEnclaveType můžete nastavit při vytváření nové databáze nebo elastického fondu nebo aktualizací existující databáze nebo elastického fondu. Každá databáze, kterou přidáte do elastického fondu, zdědí vlastnost enklávy, stejně jako cíl úrovně služby (SLO) databáze. Proto pokud přidáte databázi bez povolených enkláv VBS do elastického fondu, kde jsou enklávy VBS povoleny, stane se tato nová databáze součástí elastického fondu a enklávy VBS budou v této databázi povoleny. Přidání databáze s povolenými enklávami VBS do elastického poolu bez povolených enkláv VBS není podporováno.

Vlastnost preferredEnclaveType můžete nastavit pomocí webu Azure Portal, aplikace SQL Server Management Studio, Azure PowerShellu nebo Azure CLI.

Povolení enkláv VBS pomocí Portálu Azure

Vytvoření nové databáze nebo elastického fondu pomocí enklávy VBS

1. Otevřete Azure portal a vyhledejte logický SQL Server, pro který chcete vytvořit databázi nebo elasticní fond s enklávem VBS.

2. Vyberte Vytvořit databázi nebo tlačítko Nový elastický fond .

3. Na kartě Zabezpečení vyhledejte oddíl Always Encrypted.

4. Povolte zabezpečené enklávy na ZAPNUTO. Tím se vytvoří databáze s povolenou enklávou VBS.

   

Povolit enklávu VBS pro existující databázi nebo elastický fond

1. Otevřete Azure portal a vyhledejte databázi nebo elastický fond, u kterého chcete povolit zabezpečené enklávy.

2. Pro existující databázi:

   1. V nastavení zabezpečení vyberte Šifrování dat.

   2. V nabídce Šifrování dat vyberte kartu Always Encrypted.

   3. Povolte zabezpečené enklávy na ZAPNUTO.

   4. Vyberte Uložit a uložte konfiguraci funkce Always Encrypted.

3. Pro existující elastický fond:

   1. V Nastavení vyberte Možnost Konfigurace.

   2. V nabídce Konfigurace vyberte kartu Always Encrypted.

   3. Povolte zabezpečené enklávy na ZAPNUTO.

      

   4. Vyberte Uložit a uložte konfiguraci funkce Always Encrypted.

Povolení enkláv VBS pomocí aplikace SQL Server Management Studio

Stáhněte si nejnovější verzi aplikace SQL Server Management Studio (SSMS).

Vytvoření nové databáze pomocí enklávy VBS

1. Otevřete SSMS a připojte se k logickému serveru, na kterém chcete vytvořit databázi.
2. Klikněte pravým tlačítkem na složku Databáze a vyberte Nová databáze...
3. Na stránce Konfigurovat SLO nastavte možnost Povolit zabezpečené enklávy na ZAPNUTO. Tím se vytvoří databáze s povolenou enklávou VBS.

Povolení enklávy VBS pro existující databázi

1. Otevřete SSMS a připojte se k logickému serveru, na kterém chcete databázi upravit.
2. Klikněte pravým tlačítkem myši na databázi a vyberte Vlastnosti.
3. Na stránce Konfigurovat SLO nastavte možnost Povolit zabezpečené enklávy na ZAPNUTO.
4. Vyberte OK a uložte vlastnosti databáze.

Povolení enkláv VBS pomocí Azure PowerShellu

Vytvoření nové databáze nebo elastického fondu pomocí enklávy VBS

Vytvořte novou databázi s enklávou VBS pomocí rutiny New-AzSqlDatabase . Následující příklad vytvoří bezserverovou databázi s enklávem VBS.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Vytvořte nový elastický fond s enklávou VBS pomocí rutiny New-AzSqlElasticPool . Následující příklad vytvoří elastický fond s enklávou VBS.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Povolit enklávu VBS pro existující databázi nebo elastický fond

Pokud chcete povolit enklávu VBS pro existující databázi, použijte rutinu Set-AzSqlDatabase . Tady je příklad:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Pokud chcete povolit enklávu VBS pro existující elastický fond, použijte rutinu Set-AzSqlElasticPool . Tady je příklad:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Povolení enkláv VBS pomocí Azure CLI

Vytvoření nové databáze nebo elastického fondu pomocí enklávy VBS

Vytvořte novou databázi pomocí enklávy VBS pomocí rutiny az sql db create . Následující příklad vytvoří bezserverovou databázi s enklávem VBS.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Vytvořte nový elastický fond pomocí enklávy VBS pomocí rutiny az sql elastic-pool create . Následující příklad vytvoří bezserverovou databázi s enklávem VBS.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Povolit enklávu VBS pro existující databázi nebo elastický fond

Pokud chcete povolit enklávu VBS pro existující databázi, použijte rutinu az sql db update . Tady je příklad:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Pokud chcete povolit enklávu VBS pro existující elastický fond, použijte rutinu az sql elastic-pool update . Tady je příklad:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Související obsah

• Začínáme používat funkci Always Encrypted se zabezpečenými enklávy