Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL Serverazure SQL Database
Balíček aplikace datové vrstvy (DAC), označovaný také jako DACPAC, je přenosná jednotka nasazení databáze SQL Serveru, která definuje všechny objekty SQL Serveru, včetně tabulek a sloupců uvnitř tabulek. Při publikování DACPAC do databáze (při upgradu databáze pomocí DACPAC) se schéma cílové databáze aktualizuje tak, aby odpovídalo schématu v jazyce DACPAC. DACPAC můžete publikovat pomocí Průvodce upgradem datové vrstvy aplikace v SQL Server Management Studio, PowerShell nebo sqlpackage.
Tento článek se zabývá zvláštními aspekty upgradu databáze, když DACPAC nebo/a cílová databáze obsahuje sloupce chráněné funkcí Always Encrypted. Pokud se schéma šifrování pro sloupec v jazyce DACPAC liší od schématu šifrování existujícího sloupce v cílové databázi, publikováním souboru DACPAC dojde k šifrování, dešifrování nebo opětovnému šifrování dat uložených ve sloupci. Podrobnosti najdete v následující tabulce.
| Podmínka | Činnost |
|---|---|
| Sloupec je zašifrovaný v jazyce DACPAC a není zašifrovaný v databázi. | Data ve sloupci budou zašifrována. |
| Sloupec není šifrovaný v jazyce DACPAC a je zašifrovaný v databázi. | Data ve sloupci se dešifrují (šifrování se odebere pro sloupec). |
| Sloupec je zašifrovaný jak v jazyce DACPAC, tak v databázi, ale sloupec v jazyce DACPAC používá jiný typ šifrování nebo/a jiný šifrovací klíč sloupce než odpovídající sloupec v databázi. | Data ve sloupci se dešifrují a pak znovu zašifrují tak, aby odpovídaly konfiguraci šifrování v jazyce DACPAC. |
Nasazení balíčku DAC může také vést k vytvoření nebo odebrání objektů metadat pro hlavní klíče sloupců nebo šifrovací klíče sloupců pro funkci Always Encrypted.
Poznámka:
Pokud používáte SQL Server 2019 (15.x) nebo novější nebo Azure SQL Database a vaše instance nebo databáze SQL Serveru je nakonfigurovaná se zabezpečeným enklávem, můžete spustit kryptografické operace na místě, aniž byste museli přesouvat data z databáze. Viz Konfigurace místního šifrování sloupců pomocí funkce Always Encrypted se zabezpečenými enklávy. Pokud chcete aktivovat místní šifrování pomocí balíčku DAC, musí uživatel zadat vlastnosti EnclaveAttestationProtocol a EnclaveAttestationUrl .
Oprávnění pro publikování balíčku DAC, pokud je nastavena funkce Always Encrypted se zabezpečenými enklávy
Pokud chcete publikovat balíček DAC, pokud je v DACPAC nastavena funkce Always Encrypted se zabezpečenými enklávy nebo v cílové databázi, můžete potřebovat některá nebo všechna následující oprávnění v závislosti na rozdílech mezi schématem v DACPAC a schématem cílové databáze.
ZMĚNIT JAKÝKOLI MISTROVSKÝ KLÍČ SLOUPCE, ZMĚNIT JAKÝKOLI ŠIFROVACÍ KLÍČ SLOUPCE, ZOBRAZIT DEFINICI JAKÉHOKOLI MISTROVSKÉHO KLÍČE SLOUPCE, ZOBRAZIT DEFINICI JAKÉHOKOLI ŠIFROVACÍHO KLÍČE SLOUPCE
Pokud operace upgradu aktivuje operaci šifrování dat, potřebujete také oprávnění úložiště klíčů pro přístup k hlavnímu klíči sloupce a jeho použití. Podrobné informace o oprávněních k úložišti klíčů najdete v tématu Zřízení klíčů s podporou enklávy a vyhledejte část, která je relevantní pro vaše úložiště klíčů.
Další kroky
- Vývoj aplikací s využitím funkce Always Encrypted se zabezpečenými enklávy
- Spouštění příkazů Transact-SQL pomocí zabezpečených enkláv
Viz také
- Always Encrypted s využitím zabezpečených enkláv
- Správa klíčů pro Always Encrypted v zabezpečených enklávách
- Konfigurace místního šifrování sloupců pomocí jazyka Transact-SQL
- Konfigurace místního šifrování sloupců pomocí PowerShellu
- Místní konfigurace šifrování sloupců pomocí průvodce Always Encrypted v SSMS