MESTERKULCS LÉTREHOZÁSA (Transact-SQL)

Vonatkozik a következőkre:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalitikai Platform System (PDW)SQL adatbázis a Microsoft Fabric-ben

Létrehoz egy adatbázis-főkulcsot az adatbázisban.

Important

• Készítsen biztonsági másolatot a főkulcsról a BACKUP MASTER KEY használatával, és tárolja a biztonsági mentést egy biztonságos, helyen kívüli helyen.
• Az SQL Serverben biztonsági másolatot is kell készítenie a szolgáltatás főkulcsáról a BACKUP SERVICE MASTER KULCS használatával, és a biztonsági mentést biztonságos, helyen kívüli helyen kell tárolnia.

Transact-SQL szintaxis konvenciók

Syntax

CREATE MASTER KEY [ ENCRYPTION BY PASSWORD ='password' ]
[ ; ]

Arguments

PASSWORD ='jelszó'

Az adatbázis főkulcsának titkosításához használt jelszó. a jelszónak meg kell felelnie az SQL Server-példányt futtató számítógép Windows jelszóházirend-követelményeinek. A jelszó nem kötelező az SQL Database-ben és az Azure Synapse Analyticsben.

Remarks

Az adatbázis főkulcsa szimmetrikus kulcs az adatbázisban található tanúsítványok és aszimmetrikus kulcsok titkos kulcsainak, valamint az adatbázis hatókörébe tartozó hitelesítő adatok titkos kulcsainak védelmére. A létrehozáskor a főkulcs titkosítása a AES_256 algoritmus és a felhasználó által megadott jelszó használatával történik. Az SQL Server 2008 (10.0.x) és az SQL Server 2008 R2 (10.50.x) esetében a Triple DES algoritmust használja a rendszer. A főkulcs automatikus visszafejtésének engedélyezéséhez a rendszer a kulcs egy példányát a szolgáltatás főkulcsával titkosítja, és az adatbázisban és a fájlban masteris tárolja. A tárolt master másolat általában csendesen frissül a főkulcs módosításakor. Ez az alapértelmezett beállítás az ALTER MASTER KEY DROP ENCRYPTION BY SERVICE MASTER KEY beállításával módosítható. A szolgáltatás főkulcsa által nem titkosított főkulcsot az OPEN MASTER KEY utasítással és jelszóval kell megnyitni.

A is_master_key_encrypted_by_server katalógusnézet oszlopa sys.databasesmaster azt jelzi, hogy az adatbázis főkulcsát a szolgáltatás főkulcsa titkosítja-e.

Az adatbázis főkulcsával kapcsolatos információk a sys.symmetric_keys katalógus nézetben láthatók.

Az SQL Server és a párhuzamos adattárház esetében a főkulcsot általában a szolgáltatás főkulcsa és legalább egy jelszó védi. Ha az adatbázis fizikailag egy másik kiszolgálóra kerül (naplószállítás, biztonsági mentés visszaállítása stb.), az adatbázis tartalmazza az eredeti kiszolgálószolgáltatás főkulcsa által titkosított főkulcs másolatát (kivéve, ha ezt a titkosítást explicit módon eltávolították ALTER MASTER KEY DDL), és annak egy példányát az egyes jelszavak titkosítják mindkét CREATE MASTER KEYALTER MASTER KEY DDL művelet során. A főkulcs helyreállításához, valamint az adatbázis áthelyezése utáni kulcshierarchia gyökérkulcsaként a főkulcs használatával titkosított összes adat helyreállításához a felhasználó vagy a főkulcs védelméhez használt jelszavak egyikét használja OPEN MASTER KEY , visszaállítja a főkulcs biztonsági másolatát, vagy visszaállítja az eredeti szolgáltatás főkulcsának biztonsági másolatát az új kiszolgálón.

Az SQL Database és az Azure Synapse Analytics esetében a jelszóvédelem nem tekinthető olyan biztonsági mechanizmusnak, amely megakadályozza az adatvesztési forgatókönyvet olyan helyzetekben, amikor az adatbázis áthelyezhető az egyik kiszolgálóról a másikra, mivel a főkulcs szolgáltatáskulcs-védelmét a Microsoft Azure platform kezeli. Ezért a főkulcsjelszó nem kötelező az SQL Database-ben és az Azure Synapse Analyticsben.

Az SQL Database esetében az adatbázis főkulcsa automatikusan létrehozható a naplózáshoz használt adatbázis-hatókörű hitelesítő adatok titkos kulcsainak védelme érdekében, valamint az olyan egyéb funkciók védelme érdekében, amelyekhez adatbázis-hatókörű hitelesítő adatokra van szükség egy külső erőforrás, például egy Azure Storage-fiók hitelesítéséhez. A főkulcs egy erős, véletlenszerűen kiválasztott jelszóval jön létre. A felhasználók nem tudják létrehozni a főkulcsot egy logikai master adatbázisban. A főkulcsjelszó ismeretlen a Microsoft számára, és a létrehozás után nem észlelhető. Ezért ajánlott adatbázis-főkulcsot létrehozni az adatbázis hatókörébe tartozó hitelesítő adatok létrehozása előtt.

A szolgáltatás főkulcsát és az adatbázis főkulcsait az AES-256 algoritmus védi.

Permissions

CONTROL-engedélyt igényel az adatbázisban.

Examples

Az alábbi példában adatbázis-főkulcsot hozhat létre egy adatbázisban. A kulcs titkosítása jelszóval történik.

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<strong password>';
GO

Ellenőrizze az új kulcs meglétét: ##MS_DatabaseMasterKey##

SELECT * FROM sys.symmetric_keys;
GO

Kapcsolódó tartalom

• sys.symmetric_keys (Transact-SQL)
• sys.databases (Transact-SQL)
• Titkosítási hierarchia
• BIZTONSÁGI MENTÉSI FŐKULCS
• BIZTONSÁGI MENTÉSI SZOLGÁLTATÁS FŐKULCSA
• MESTERKULCS MEGNYITÁSA (Transact-SQL)
• ALTER MASTER KEY (Transact-SQL)
• DOBD LE A FŐ KULCSOT (Transact-SQL)
• MASTER KEY (Transact-SQL) bezárása