Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server 2019 (15.x) und höher – Nur Windows Azure SQL-Datenbank
Bei Always Encrypted ist eine Schlüsselrotation ein Vorgang, bei dem ein vorhandener Spaltenhauptschlüssel oder ein Spaltenverschlüsselungsschlüssel durch einen neuen Schlüssel ersetzt wird. In diesem Artikel werden Anwendungsfälle und Überlegungen zur Schlüsselrotation beschrieben, die für Always Encrypted mit sicheren Enklaven spezifisch sind, wenn entweder der anfängliche Schlüssel und/oder der Zielschlüssel (neu) ein Enklave-fähiger Schlüssel ist. Allgemeine Richtlinien und Prozesse für die Verwaltung von Always Encrypted-Schlüsseln finden Sie unter Übersicht über die Schlüsselverwaltung für Always Encrypted.
Möglicherweise müssen Sie aus Sicherheits- oder Konformitätsgründen eine Schlüsselrotation durchführen. Dies kann beispielsweise der Fall sein, wenn ein Schlüssel kompromittiert wurde oder die Richtlinien Ihrer Organisation verlangen, dass Sie Schlüssel regelmäßig ersetzen. Zudem bietet die Schlüsselrotation mithilfe von Always Encrypted mit Secure Enclaves eine Möglichkeit, die Funktion der serverseitigen Secure Enclave für die verschlüsselten Spalten zu aktivieren oder zu deaktivieren.
- Wenn Sie einen nicht Enclave-fähigen Schlüssel durch einen Enclave-fähigen Schlüssel ersetzen, entsperren Sie die Funktion der Secure Enclave, um mit dem Schlüssel geschützte Spalten abzufragen. Weitere Informationen finden Sie unter Always Encrypted mit sicheren Enklaven für bestehende verschlüsselte Spalten aktivieren.
- Wenn Sie einen Enclave-fähigen Schlüssel durch einen nicht Enclave-fähigen Schlüssel ersetzen, deaktivieren Sie die Funktion der Secure Enclave, um mit dem Schlüssel geschützte Spalten abzufragen.
Wenn Sie eine Schlüsselrotation nur aus Sicherheits- oder Compliancegründen durchführen und keine Enclave-Berechnungen für die Spalten aktivieren oder deaktivieren möchten, stellen Sie sicher, dass der Zielschlüssel in Bezug auf Enclaves dieselbe Konfiguration wie der Quellschlüssel aufweist. Wenn der Quellschlüssel beispielsweise Enclave-fähig ist, muss der Zielschlüssel ebenfalls Enclave-fähig sein.
Die folgenden Schritte enthalten je nach Rotationsszenario Links zu ausführlichen Artikeln:
Stellen Sie einen neuen Schlüssel (Spaltenhauptschlüssel oder Spaltenverschlüsselungsschlüssel) bereit.
- Informationen zum Bereitstellen eines neuen Enclave-fähigen Schlüssels finden Sie unter Bereitstellen Enclave-fähiger Schlüssel.
- Informationen zum Bereitstellen eines Schlüssels, der nicht für Enclaves aktiviert ist, finden Sie unter Bereitstellen von Always Encrypted Schlüsseln Mithilfe von SQL Server Management Studio und Bereitstellen von Always Encrypted Schlüsseln Mithilfe von PowerShell.
Hinweis
Wenn Sie Azure Key Vault als Schlüsselspeicher verwenden, wird eine kundenseitig verwaltete Schlüsselrotation für mehrere Mandanten nicht unterstützt. Stellen Sie sicher, dass sich der neue kundschaftsseitig verwaltete Schlüssel im selben Mandanten wie der vorhandene befindet.
Ersetzen Sie einen vorhandenen Schlüssel durch den neuen Schlüssel.
- Wenn Sie eine Rotation mit einem Spaltenverschlüsselungsschlüssel durchführen und sowohl der Quellschlüssel als auch der Zielschlüssel Enclave-fähig ist, können Sie die Rotation (bei der die Daten erneut verschlüsselt werden) direkt ausführen. Weitere Informationen finden Sie unter Konfigurieren der Spaltenverschlüsselung mithilfe von Always Encrypted mit sicheren Enklaven.
- Ausführliche Schritte zum Drehen von Schlüsseln finden Sie unter "Immer verschlüsselte Schlüssel drehen" mithilfe von SQL Server Management Studio und drehen Sie immer verschlüsselte Schlüssel mithilfe von PowerShell.
Verwandte Inhalte
- Ausführen von Transact-SQL Anweisungen mithilfe sicherer Enklaven
- Vor-Ort-Konfiguration der Spaltenverschlüsselung mithilfe von Always Encrypted mit sicheren Enklaven
- Aktivieren von Always Encrypted mit sicheren Enklaven für vorhandene verschlüsselte Spalten
- Entwickeln von Anwendungen mit Always Encrypted mit sicheren Enklaven
- Verwalten von Schlüsseln für Always Encrypted mit sicheren Enklaven