A Transzparens adattitkosítás (TDE) védő elforgatása

A következőkre vonatkozik:Azure SQL DatabaseFelügyelt Azure SQL-példányAzure Synapse Analytics (csak dedikált SQL-készletek)

Ez a cikk egy -kiszolgáló kulcsváltását ismerteti, az Azure Key Vault TDE-védője használatával. A kiszolgáló logikai TDE-védőjének elforgatása azt jelenti, hogy egy új aszimmetrikus kulcsra vált, amely védi a kiszolgálón lévő adatbázisokat. A kulcsváltás egy online művelet, és csak néhány másodpercet kell igénybe vennie, mivel ez csak az adatbázis adattitkosítási kulcsának visszafejtése és újratitkosítása, nem pedig a teljes adatbázis.

Ez a cikk a TDE-védő kiszolgálón történő elforgatására szolgáló automatizált és manuális módszereket is ismerteti.

Fontos szempontok a TDE-védő elforgatásakor

• A TDE-védő módosítása/elforgatása után az adatbázis régi biztonsági másolatai, beleértve a biztonsági másolatok naplófájljait, nem frissülnek a legújabb TDE-védő használatára. Ha TDE-védővel titkosított biztonsági mentést szeretne visszaállítani az Azure Key Vaultból vagy az Azure Managed HSM-ből, győződjön meg arról, hogy a kulcsanyag elérhető a célkiszolgáló számára. Ezért azt javasoljuk, hogy tartsa meg a TDE-védő összes régi verzióját az Azure Key Vaultban vagy az Azure Managed HSM-ben, hogy az adatbázis biztonsági másolatai visszaállíthatók legyenek.
• Az Azure Key Vaultban vagy az Azure Managed HSM-ben még akkor is megtarthatja a korábban használt kulcsokat, ha az ügyfél által felügyelt kulcsról (CMK-ról szolgáltatás által felügyelt kulcsra) vált. Ez biztosítja, hogy az adatbázis biztonsági mentései, beleértve a biztonsági másolatokat is, visszaállíthatók az Azure Key Vaultban vagy az Azure Managed HSM-ben tárolt TDE-védelmikkel.
• A régi biztonsági mentéseken kívül a tranzakciónapló fájlokhoz is hozzáférés szükséges a régebbi TDE védőhöz. Annak megállapításához, hogy vannak-e még olyan naplók, amelyekhez továbbra is a régebbi kulcsra van szükség, a kulcsváltás végrehajtása után használja a sys.dm_db_log_info dinamikus felügyeleti nézetet (DMV). Ez a DMV a tranzakciónapló virtuális naplófájljára (VLF) vonatkozó adatokat, valamint a VLF titkosítási kulcsának ujjlenyomatát adja vissza.
• A régebbi kulcsokat az Azure Key Vaultban vagy az Azure Managed HSM-ben kell tárolni, és a kiszolgáló számára elérhetővé kell tenni az adatbázis biztonsági mentési megőrzési szabályzatai alapján konfigurált biztonsági mentési megőrzési időszak alapján. Ez segít biztosítani, hogy a kiszolgálón lévő hosszú távú adatmegőrzési (LTR) biztonsági másolatok a régebbi kulcsok használatával is visszaállíthatók legyenek.

Jegyzet

Az Azure Synapse Analytics szüneteltetett dedikált SQL-készletét a kulcsváltás előtt folytatni kell.

Ez a cikk az Azure SQL Database,az Azure SQL Managed Instance és az Azure Synapse Analytics dedikált SQL-készletekre (korábbi nevén SQL DW) vonatkozik. A Synapse-munkaterületeken belüli dedikált SQL-készletek transzparens adattitkosításának (TDE) dokumentációját az Azure Synapse Analytics titkosításitalálja.

Előfeltételek

• Ez az útmutató feltételezi, hogy már használ egy kulcsot az Azure Key Vaultból az Azure SQL Database vagy az Azure Synapse Analytics átlátszó adatbázis titkosításának (TDE) védelmezőjeként. Lásd Átlátszó adattitkosítás BYOK támogatással.
• Telepítenie és futtatnia kell az Azure PowerShellt.

Borravaló

Ajánlott, de nem kötelező – először hozza létre a TDE-védő kulcsanyagát egy hardveres biztonsági modulban (HSM) vagy a helyi kulcstárolóban, majd importálja a kulcsanyagot az Azure Key Vaultba. További információért kövesse a hardveres biztonsági modul (HSM) és az Azure Key Vault használatára vonatkozó utasításokat .

portál

Nyissa meg a Azure Portal

PowerShell

Az Az PowerShell-modul telepítési utasításait az Az Azure PowerShelltelepítése című témakörben találja. Használja az új Azure PowerShell Az modult.

Az Azure CLI

A telepítésről további információt Az Azure CLItelepítése című témakörben talál.

Automatikus kulcsváltás

A TDE védő automatikus forgatása engedélyezhető, amikor a TDE védőt a kiszolgálóhoz vagy az adatbázishoz konfigurálják az Azure Portal vagy az alábbi PowerShell és Azure CLI parancsok használatával. Ha egyszer engedélyezik, a kiszolgáló vagy az adatbázis folyamatosan ellenőrzi a kulcstárolót a TDE védőként használt kulcs bármelyik új verzióját illetően. Ha a kulcs új verzióját észleli, a kiszolgáló vagy az adatbázis TDE-védője automatikusan a legújabb kulcsverzióra vált 24 órán belül.

Az automatikus forgatás egy kiszolgálóban, adatbázisban vagy felügyelt példányban az Azure Key Vault automatikus kulcsforgatásának alkalmazásával lehetővé teszi a TDE-kulcsok teljes körű érintésmentes forgatását.

Jegyzet

Ha a kiszolgáló vagy a felügyelt példány georeplikációt konfiguráltak, az automatikus forgatás engedélyezése előtt be kell tartania az alábbi irányelveket, amelyeket itt találhatók.

portál

Az Azure Portalhasználata:

1. Keresse meg a(z) transzparens adattitkosítás szakaszt egy meglévő kiszolgálón vagy felügyelt példányban.
2. Válassza az Ügyfél által felügyelt kulcs lehetőséget, majd válassza ki a TDE-védőként használni kívánt kulcstartót és kulcsot.
3. Jelölje be az Automatikus elforgatás gomb jelölőnégyzetet.
4. Válassza Mentéslehetőséget.

PowerShell

Az Az PowerShell-modul telepítési utasításait az Az Azure PowerShelltelepítése című témakörben találja.

A TDE-védő automatikus forgásának PowerShell-lel való engedélyezéséhez tekintse meg az alábbi szkriptet. A <keyVaultKeyId>lekérhető az Azure Key Vaultból.

Azure SQL adatbázis

Használja a Set-AzSqlServerTransparentDataEncryptionProtector parancsot.

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Azure SQL Managed Instance

Használja a Set-AzSqlInstanceTransparentDataEncryptionProtector parancsot.

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

Az Azure CLI

Az Azure CLI aktuális kiadásának telepítéséről további információt Az Azure CLI-cikkének telepítése című cikkben talál.

Ha az Azure CLI használatával szeretné engedélyezni a TDE-védő automatikus elforgatását, tekintse meg az alábbi szkriptet.

Azure SQL adatbázis

Használja a sql server tde-key set parancsot.

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Azure SQL Managed Instance

Használja az az sql mi tde-key set parancsot.

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Automatikus kulcsváltás az adatbázis szintjén

Az automatikus kulcsváltás az Azure SQL Database adatbázisszintjén is engedélyezhető. Ez akkor hasznos, ha a kiszolgálón lévő adatbázisoknak csak egy vagy egy részhalmazához szeretné engedélyezni az automatikus kulcsváltást. További információ: A TDE identitás- és kulcskezelése adatbázisszintű, ügyfél által felügyelt kulcsokkal.

portál

Az Azure Portalon az automatikus kulcsváltás adatbázisszinten történő beállításával kapcsolatos információkért lásd: Meglévő Azure SQL Database frissítése adatbázisszintű, ügyfél által felügyelt kulcsokkal.

PowerShell

Ha az adatbázis szintjén szeretné engedélyezni a TDE-védő automatikus elforgatását a PowerShell használatával, tekintse meg az alábbi parancsot. Használja a -EncryptionProtectorAutoRotation paramétert, és állítsa $true értékre az automatikus kulcsforgatás engedélyezéséhez, vagy $false az automatikus kulcsváltás letiltásához.

Set-AzSqlDatabase -ResourceGroupName <resource_group_name> -ServerName <server_name> -DatabaseName <database_name> -EncryptionProtectorAutoRotation:$true

Az Azure CLI

Ha az Azure CLI használatával szeretné engedélyezni a TDE-védő automatikus elforgatását az adatbázis szintjén, tekintse meg az alábbi parancsot. Használja a --encryption-protector-auto-rotation paramétert, és állítsa True értékre az automatikus kulcsforgatás engedélyezéséhez, vagy False az automatikus kulcsváltás letiltásához.

az sql db update --resource-group <resource_group_name> --server <server_name> --name <database_name> --encryption-protector-auto-rotation True

Automatikus kulcsváltás georeplikációs konfigurációkhoz

Egy Olyan Azure SQL Database georeplikációs konfigurációban, amelyben az elsődleges kiszolgáló tDE-t használ a CMK-val, a másodlagos kiszolgálót úgy is konfigurálnia kell, hogy a TDE-t az elsődlegesen használt kulccsal rendelkező CMK-val engedélyezze.

portál

Az Azure Portalhasználata:

1. Keresse meg a elsődleges-kiszolgáló transzparens adattitkosítási szakaszát.

2. Válassza az Ügyfél által felügyelt kulcs lehetőséget, majd válassza ki a TDE-védőként használni kívánt kulcstartót és kulcsot.

3. Jelölje be az Automatikus elforgatás gomb jelölőnégyzetet.

4. Válassza Mentéslehetőséget.

   

5. A másodlagos kiszolgáló számára keresse meg a transzparens adattitkosítási szakaszt.

6. Válassza az Ügyfél által felügyelt kulcs lehetőséget, majd válassza ki a TDE-védőként használni kívánt kulcstartót és kulcsot. Használja ugyanazt a kulcsot, mint az elsődleges kiszolgálóhoz.

7. Törölje a jelölést a Legyen ez a kulcs az alapértelmezett TDE védelmezővé.

8. Válassza Mentéslehetőséget.

   

Amikor a kulcs el van forgatva az elsődleges kiszolgálón, a rendszer automatikusan átviszi azt a másodlagos kiszolgálóra.

Jegyzet

Ha az elsődleges kiszolgálón ugyanazt a kulcstartókulcsot használja a másodlagos kiszolgáló alapértelmezett TDE-védelmezőjeként, győződjön meg arról, hogy a kulcs automatikus elforgatása engedélyezve van mindkét kiszolgálón. Ennek elmulasztása azt eredményezheti, hogy az automatikus elforgatási munkafolyamatok hibaállapotba kerülnek, és megakadályozzák a manuális kulcsforgatás további műveleteit.

PowerShell

A <keyVaultKeyId>lekérhető az Azure Key Vaultból.

1. Az Add-AzSqlServerKeyVaultKey paranccsal adjon hozzá egy új kulcsot a másodlagos kiszolgálóhoz.

   # add the key from Azure Key Vault to the secondary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

2. Adja hozzá ugyanazt a kulcsot az első lépésben az elsődleges kiszolgálóhoz.

   # add the key from Azure Key Vault to the primary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

3. Az Set-AzSqlInstanceTransparentDataEncryptionProtector használatával állítsa be a kulcsot a fő kiszolgáló elsődleges védőjeként, és engedélyezze az automatikus kulcsforgatást true.

   Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
    -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled $true
   

4. Forgassa el az Azure Key Vault kulcsát az Azure Key Vaultban a Get-AzKeyVaultKey és a Set-AzKeyVaultKeyRotationPolicy paranccsal.

   Get-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> | Set-AzKeyVaultKeyRotationPolicy -KeyRotationLifetimeAction @{Action = "Rotate"; TimeBeforeExpiry = "P18M"} 
   

5. Ellenőrizze, hogy az SQL Server (elsődleges és másodlagos) rendelkezik-e az új kulccsal vagy kulcsverzióval:

   Jegyzet

   A kulcsváltás akár egy órát is igénybe vehet a kiszolgálóra való alkalmazáshoz. Várjon legalább egy órát a parancs végrehajtása előtt.

   Get-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

Különböző kulcsok használata minden kiszolgálóhoz

Az elsődleges és másodlagos kiszolgálókat másik kulcstartó kulccsal is konfigurálhatja, ha a TDE-t CMK-val konfigurálja az Azure Portalon. Az Azure Portalon nem egyértelmű, hogy az elsődleges kiszolgáló védelméhez használt kulcs ugyanaz a kulcs, amely a másodlagos kiszolgálóra replikált elsődleges adatbázist is védi. A PowerShell, az Azure CLI vagy a REST API-k használatával azonban lekéri a kiszolgálón használt kulcsok részleteit. Ez azt mutatja, hogy az automatikusan elforgatott kulcsok át lesznek osztva az elsődleges kiszolgálóról a másodlagos kiszolgálóra.

Íme egy példa a PowerShell-parancsok használatára az elsődleges kiszolgálóról a másodlagos kiszolgálóra kulcsváltás után átvitt kulcsok ellenőrzésére.

1. Hajtsa végre a következő parancsot az elsődleges kiszolgálón a kiszolgáló kulcsadatainak megjelenítéséhez:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

2. Az alábbihoz hasonló eredményeknek kell megjelennie:

   ResourceGroupName : <SQLDatabaseResourceGroupName> 
   ServerName        : <logicalServerName> 
   ServerKeyName     : <keyVaultKeyName> 
   Type              : AzureKeyVault 
   Uri               : https://<keyvaultname>.vault.azure.net/keys/<keyName>/<GUID> 
   Thumbprint        : <thumbprint> 
   CreationDate      : 12/13/2022 8:56:32 PM
   

3. Hajtsa végre ugyanazt a Get-AzSqlServerKeyVaultKey parancsot a másodlagos kiszolgálón:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

4. Ha a másodlagos kiszolgáló alapértelmezett TDE-védője az elsődleges kiszolgálótól eltérő kulccsal rendelkezik, két (vagy több) kulcsnak kell megjelennie. Az első kulcs az alapértelmezett TDE-védő, a második pedig a replikált adatbázis védelmére használt elsődleges kiszolgálón használt kulcs.

5. Amikor a kulcs el van forgatva az elsődleges kiszolgálón, a rendszer automatikusan átviszi azt a másodlagos kiszolgálóra. Ha ismét futtatni szeretné a Get-AzSqlServerKeyVaultKey az elsődleges kiszolgálón, két kulcsnak kell megjelennie. Az első kulcs az eredeti kulcs, a második pedig az aktuális kulcs, amely a kulcsváltás részeként lett létrehozva.

6. A Get-AzSqlServerKeyVaultKey parancs másodlagos kiszolgálón való futtatásának ugyanazokat a kulcsokat is meg kell jelenítenie, amelyek az elsődleges kiszolgálón találhatók. Ez megerősíti, hogy az elsődleges kiszolgálón lévő elforgatott kulcsok automatikusan átkerülnek a másodlagos kiszolgálóra, és az adatbázis-replika védelmére szolgálnak.

Kézi kulcs elforgatása

A manuális kulcsváltás az alábbi parancsokkal ad hozzá egy új kulcsot, amely egy új kulcsnév alatt vagy akár egy másik kulcstartóban is szerepelhet. Ez a megközelítés támogatja ugyanannak a kulcsnak a hozzáadását a különböző kulcstárakhoz, támogatva ezzel a magas rendelkezésre állást és a földrajzi katasztrófa-helyreállítási forgatókönyveket. A manuális kulcsváltás az Azure Portalon is elvégezhető.

Manuális kulcsforgatás esetén, ha új kulcsverzió jön létre a Key Vaultban (manuálisan vagy a kulcstartó automatikus kulcsforgatási szabályzatával), ugyanezt manuálisan kell beállítani, mint a TDE-védőt a kiszolgálón.

Jegyzet

A kulcstartó neve és a kulcs neve együttesen nem lehet hosszabb 94 karakternél.

portál

Az Azure Portal használata:

1. Nyissa meg a Átlátszó adattitkosítás menüt egy meglévő kiszolgáló vagy kezelőfelület esetén.
2. Válassza ki az ügyfél által felügyelt kulcs lehetőséget, majd válassza ki a kulcstartót és a kulcsot, amelyeket az új TDE-védőként kíván használni.
3. Válassza Mentéslehetőséget.

PowerShell

Az Add-AzKeyVaultKey paranccsal adjon hozzá egy új kulcsot a kulcstartóhoz.

# add a new key to Azure Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

Azure SQL Database esetén használja a következőt:

• Add-AzSqlServerKeyVaultKey
• Set-AzSqlServerTransparentDataEncryptionProtector

# add the new key from Azure Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

Az Azure SQL-felügyelt példányesetén használja a következőt:

• Add-AzSqlInstanceKeyVaultKey
• Set-AzSqlInstanceTransparentDataEncryptionProtector

# add the new key from Azure Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

Az Azure CLI

Az az keyvault key create parancs segítségével adjon hozzá egy új kulcsot a kulcstárhoz.

# add a new key to Azure Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

Azure SQL Database esetén használja a következőt:

• az sql szerverkulcs létrehozása
• a SQL Server TDE-kulcs beállítása

# add the new key from Azure Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

Az Azure SQL-felügyelt példányesetén használja a következőt:

• az SQL kezeli az MI kulcs létrehozását
• az sql mi tde-kulcs beállítása

# add the new key from Azure Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

TDE védelmi mód váltása

portál

Az Azure Portal használatával váltsa át a TDE-védőt a Microsoft által felügyeltről BYOK módra:

1. Nyissa meg a Átlátszó adattitkosítás menüt egy meglévő kiszolgáló vagy kezelőfelület esetén.
2. Válassza az Ügyfél által felügyelt kulcs lehetőséget.
3. Válassza ki a TDE-védőként használni kívánt kulcstartót és kulcsot.
4. Válassza Mentéslehetőséget.

PowerShell

Azure SQL adatbázis

• Ha a TDE-védőt a Microsoft által felügyeltről BYOK módra szeretné váltani, használja a Set-AzSqlServerTransparentDataEncryptionProtector parancsot.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• Ha a TDE-védőt a BYOK módról Microsoft által felügyeltre szeretné váltani, használja a Set-AzSqlServerTransparentDataEncryptionProtector parancsot.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

Azure SQL Managed Instance

• Ha a TDE-védőt a Microsoft által felügyeltről BYOK módra szeretné váltani, használja a Set-AzSqlInstanceTransparentDataEncryptionProtector parancsot.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  

• Ha a TDE-védőt a BYOK módról Microsoft által felügyeltre szeretné váltani, használja a Set-AzSqlInstanceTransparentDataEncryptionProtector parancsot.

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
  

Az Azure CLI

Azure SQL adatbázis

Az alábbi példák a(z) SQL Server TDE kulcskészletparancsot használják.

• Ha a TDE-védőt a Microsoft által felügyeltről BYOK módra szeretné váltani:

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• Ha a TDE-védőt a BYOK módról a Microsoft által felügyeltre szeretné váltani:

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

Azure SQL Managed Instance

Az alábbi példák a az sql mi tde-key sethasználatát mutatják be.

• Ha a TDE-védőt a Microsoft által felügyeltről BYOK módra szeretné váltani:

  az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

• Ha a TDE-védőt a BYOK módról a Microsoft által felügyeltre szeretné váltani:

  az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

Kapcsolódó tartalom

• Ha biztonsági kockázat áll fenn, megtudhatja, hogyan távolíthat el egy potenciálisan sérült TDE-védőt: Potenciálisan sérült kulcseltávolítása.

• Ismerkedés az Azure Key Vault integrációjával és a TDE saját kulcsának támogatásával: A TDE bekapcsolása saját kulccsal az Azure Key Vaultból a PowerShell használatával.