Konfigurieren der Spaltenverschlüsselung unter Verwendung von Always Encrypted mit einem DAC-Paket
Gilt für: SQL Server Azure SQL-Datenbank Azure SQL Managed Instance
Ein DAC-Paket (data-tier application, Datenschichtanwendung), auch bekannt als DACPAC, ist eine portable Einheit der SQL Server-Datenbankbereitstellung, die alle SQL Server-Objekte einschließlich Tabellen und Spalten in den Tabellen definiert. Wenn Sie eine DACPAC-Datei in einer Datenbank veröffentlichen (wenn Sie eine Datenbank mithilfe einer DACPAC-Datei aktualisieren), wird das Schema der Zieldatenbank aktualisiert, sodass es dem Schema in der DACPAC-Datei entspricht. Sie können eine DACPAC-Datei mithilfe des Assistenten zum Aktualisieren von Datenebenenanwendungen in SQL Server Management Studio, PowerShell oder sqlpackage veröffentlichen.
In diesem Artikel werden spezielle Überlegungen zum Aktualisieren einer Datenbank behandelt, wenn die DACPAC-Datei oder/und die Zieldatenbank mit Always Encrypted geschützte Spalten enthält. Wenn das Verschlüsselungsschema für eine Spalte in der DACPAC-Datei vom Verschlüsselungsschema für eine vorhandene Spalte in der Zieldatenbank abweicht, führt die Veröffentlichung der DACPAC-Datei dazu, dass die in der Spalte gespeicherte Daten verschlüsselt, entschlüsselt oder erneut verschlüsselt werden. Ausführlichere Informationen finden Sie in der folgenden Tabelle.
Bedingung | Aktion |
---|---|
Die Spalte wird in der DACPAC-Datei verschlüsselt, nicht in der Datenbank. | Die Daten in der Spalte werden verschlüsselt. |
Die Spalte wird in der DACPAC-Datei verschlüsselt, nicht in der Datenbank. | Die Daten in der Spalte werden entschlüsselt (die Verschlüsselung wird für die Spalte entfernt). |
Die Spalte wird sowohl in der DACPAC-Datei als auch in der Datenbank verschlüsselt. Allerdings verwendet die Spalte in der DACPAC-Datei einen anderen Verschlüsselungstyp und/oder einen Spaltenverschlüsselungsschlüssel als die entsprechende Spalte in der Datenbank. | Die Daten in der Spalte werden entschlüsselt und anschließend neu verschlüsselt, damit sie der Verschlüsselungskonfiguration in DACPAC-Datei entsprechen. |
Das Bereitstellen eines DAC-Pakets kann auch dazu führen, dass Metadatenobjekte für Spaltenhauptschlüssel oder Spaltenverschlüsselungsschlüssel für Always Encrypted erstellt oder entfernt werden.
Überlegungen zur Leistung
Ein Tool, mit dem Sie eine DACPAC-Datei bereitstellen, muss die Daten aus der Datenbank verschieben, um kryptografische Vorgänge auszuführen. Das Tool erstellt eine neue Tabelle (oder Tabellen) mit der gewünschten Verschlüsselungskonfiguration in der Datenbank, lädt alle Daten aus den ursprünglichen Tabellen, führt die angeforderten kryptografischen Vorgänge aus, lädt die Daten in die neue(n) Tabelle(n) hoch und vertauscht dann die ursprüngliche(n) Tabelle(n) mit der/den neuen Tabelle(n). Das Ausführen kryptografischer Vorgänge kann einige Zeit in Anspruch nehmen. Während dieser Zeit steht die Datenbank nicht zum Schreiben von Transaktionen zur Verfügung.
Hinweis
Wenn Sie SQL Server 2019 (15.x) verwenden und Ihre SQL Server-Instanz mit einer sicheren Enklave konfiguriert ist, können Sie kryptografische Operationen an Ort und Stelle ausführen, ohne Daten aus der Datenbank zu verschieben. Informationen hierzu finden Sie unter Konfigurieren einer direkten Spaltenverschlüsselung mithilfe von Always Encrypted mit Secure Enclaves. Beachten Sie, dass die direkte Verschlüsselung für DACPAC-Bereitstellungen nicht verfügbar ist.
Berechtigungen zum Veröffentlichen eines DAC-Pakets, wenn Always Encrypted eingerichtet ist
Je nach den Unterschieden zwischen den Schemas der DACPAC-Datei und der Zieldatenbank benötigen Sie eventuell einige oder alle der unten aufgeführten Berechtigungen, um ein DAC-Paket zu veröffentlichen, wenn Always Encrypted in der DACPAC-Datei oder/und in der Zieldatenbank eingerichtet ist.
ALTER ANY COLUMN MASTER KEY, ALTER ANY COLUMN ENCRYPTION KEY, VIEW ANY COLUMN MASTER KEY DEFINITION, VIEW ANY COLUMN ENCRYPTION KEY DEFINITION
Wenn der Upgradevorgang einen Datenverschlüsselungsvorgang auslöst, benötigen Sie auch Schlüsselspeicherberechtigungen, um auf Ihren Spaltenhauptschlüssel zuzugreifen und diesen zu verwenden. Ausführliche Informationen zu Schlüsselspeicherberechtigungen finden Sie unter Erstellen und Speichern von Spaltenhauptschlüsseln für Always Encrypted im für Ihren Schlüsselspeicher relevanten Abschnitt.
Nächste Schritte
- Entwickeln von Anwendungen mit Always Encrypted
- Abfragen von Spalten mit Always Encrypted und SQL Server Management Studio
Weitere Informationen
- Always Encrypted
- Übersicht über die Schlüsselverwaltung für Always Encrypted
- Konfigurieren von Always Encrypted mithilfe von SQL Server Management Studio
- Konfigurieren der Spaltenverschlüsselung mit dem Always Encrypted-Assistenten
- Konfigurieren der Spaltenverschlüsselung mithilfe von Always Encrypted mit PowerShell