Oktatóanyag: Az Always Encrypted használatának első lépései

A következőkre vonatkozik:SQL Server Azure SQL Database Azure SQL Managed Instance

Ez az oktatóanyag bemutatja, hogyan kezdheti el az Always Encrypted szolgáltatást. A következőt jeleníti meg:

A kijelölt oszlopok titkosítása az adatbázisban.
Titkosított oszlopok lekérdezése.

Megjegyzés:

Ha biztonságos enklávékkal szeretne információt keresni az Always Encryptedről, tekintse meg ehelyett az alábbi oktatóanyagokat:

Előfeltételek

Ebben az oktatóanyagban a következőkre van szüksége:

Üres adatbázis az Azure SQL Database-ben, az Azure SQL Managed Instance-ben vagy az SQL Serverben. Az alábbi utasítások feltételezik, hogy az adatbázis neve ContosoHR. Az adatbázis tulajdonosának (a db_owner szerepkör tagjának) kell lennie. Az adatbázis létrehozásával kapcsolatos információkért tekintse meg a gyorsútmutatót: Egyetlen adatbázis létrehozása – Azure SQL Database vagy Adatbázis létrehozása az SQL Serveren.
Nem kötelező, de ajánlott, különösen akkor, ha az adatbázis az Azure-ban található: egy kulcstartó az Azure Key Vaultban. A kulcstartók létrehozásáról a rövid útmutatóban talál további információt: Kulcstartó létrehozása az Azure Portalhasználatával.
- Ha a kulcstartó a hozzáférési szabályzat engedélymodellt használja, győződjön meg arról, hogy rendelkezik a következő kulcsengedélyekkel a kulcstartóban: get, list, create, unwrap key, wrap key, verify, sign. Lásd: Key Vault hozzáférési szabályzat hozzárendelése.
- Ha az Azure szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodellt használja, győződjön meg arról, hogy a(z) Key Vault kriptotisztségviselő szerepkör tagja. Lásd: Az Azure Key Vault kulcsaihoz, tanúsítványaihoz és titkosaihoz való hozzáférés biztosítása az Azure-beli szerepkör alapú hozzáférés-vezérléssel.
Az SQL Server Management Studio (SSMS) vagy az SqlServer és az Az PowerShell modulok legújabb verziója. Az Az PowerShell-modul csak az Azure Key Vault használata esetén szükséges.

1. lépés: Az adatbázisséma létrehozása és feltöltése

Ebben a lépésben létrehozza a HR-sémát és az Alkalmazottak táblát . Ezután feltölti a táblát néhány adattal.

SSMS
PowerShell

Csatlakozzon az adatbázishoz. Az adatbázishoz SSMS-ből való csatlakozással kapcsolatos utasításokért tekintse meg a következő rövid útmutatót: Azure SQL Database vagy felügyelt Azure SQL-példány csatlakoztatása és lekérdezése AZ SQL Server Management Studio (SSMS) használatával vagy rövid útmutató: SQL Server-példány csatlakoztatása és lekérdezése az SQL Server Management Studio (SSMS) használatával.
Nyisson meg egy új lekérdezési ablakot a ContosoHR-adatbázishoz .

Illessze be és hajtsa végre az alábbi utasításokat egy új, Alkalmazottak nevű tábla létrehozásához.

CREATE SCHEMA [HR];
GO

CREATE TABLE [HR].[Employees]
(
    [EmployeeID] [int] IDENTITY(1,1) NOT NULL
    , [SSN] [char](11) NOT NULL
    , [FirstName] [nvarchar](50) NOT NULL
    , [LastName] [nvarchar](50) NOT NULL
    , [Salary] [money] NOT NULL
) ON [PRIMARY];

Illessze be és hajtsa végre az alábbi utasításokat, hogy hozzáadjon néhány alkalmazotti rekordot az Alkalmazottak táblához.

INSERT INTO [HR].[Employees]
(
    [SSN]
    , [FirstName]
    , [LastName]
    , [Salary]
)
VALUES
(
    '795-73-9838'
    , N'Catherine'
    , N'Abel'
    , $31692
);

INSERT INTO [HR].[Employees]
(
    [SSN]
    , [FirstName]
    , [LastName]
    , [Salary]
)
VALUES
(
    '990-00-6818'
    , N'Kim'
    , N'Abercrombie'
    , $55415
);

PowerShell-munkamenetben hajtsa végre a következő parancsokat. Győződjön meg arról, hogy frissíti a kapcsolati sztringet a kiszolgáló címével és az adatbázisra érvényes hitelesítési beállításokkal.

Import-Module "SqlServer"

# Set your database connection string
$connectionString = "Server = myServerAddress; Database = ContosoHR; ..."

# Create a new table, named Employees.
$query = @'
    CREATE SCHEMA [HR];
    GO
    
    CREATE TABLE [HR].[Employees]
    (
        [EmployeeID] [int] IDENTITY(1,1) NOT NULL
        , [SSN] [char](11) NOT NULL
        , [FirstName] [nvarchar](50) NOT NULL
        , [LastName] [nvarchar](50) NOT NULL
        , [Salary] [money] NOT NULL
    ) ON [PRIMARY];
'@
Invoke-SqlCmd -ConnectionString $connectionString -Query $query

# Add a few rows to the Employees table.
$query = @'
    INSERT INTO [HR].[Employees]
    (
        [SSN]
        , [FirstName]
        , [LastName]
        , [Salary]
    )
    VALUES
    (
        '795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692
    );

    INSERT INTO [HR].[Employees]
    (
        [SSN]
        , [FirstName]
        , [LastName]
        , [Salary]
    )
    VALUES
    (
        '990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415
    );
'@
Invoke-SqlCmd -ConnectionString $connectionString -Query $query

2. lépés: Oszlopok titkosítása

Ebben a lépésben létrehoz egy oszlop főkulcsot és egy oszloptitkosítási kulcsot az Always Encryptedhez. Ezután titkosítja az Alkalmazottak tábla SSN és Fizetés oszlopait.

SSMS
PowerShell

Az SSMS egy varázslót biztosít, amely segít az Always Encrypted egyszerű konfigurálásában egy oszlop főkulcsának, egy oszloptitkosítási kulcsnak és a kijelölt oszlopok titkosításának beállításával.

Az Object Explorerben bontsa ki az Adatbázisokat>, ContosoHR> és a Táblákat.
Kattintson a jobb gombbal az Alkalmazottak táblára, és válassza az Oszlopok titkosítása lehetőséget az Always Encrypted varázsló megnyitásához.
Válassza a Tovább lehetőséget a varázsló Bevezetés lapján.
Az Oszlopkijelölés lapon.
1. Válassza ki az SSN és a Fizetés oszlopot. Válassza ki az SSN oszlop determinisztikus titkosítását, a Fizetés oszlop véletlenszerű titkosítását. A determinisztikus titkosítás támogatja a lekérdezéseket, például a titkosított oszlopok egyenlőségi összehasonlítását tartalmazó pontkereséseket. A véletlenszerű titkosítás nem támogatja a titkosított oszlopok számításait.
2. Hagyja CEK-Auto1 (Új) oszloptitkosítási kulcsot mindkét oszlophoz. Ez a kulcs még nem létezik, és a varázsló fogja létrehozni.
3. Válassza a Következőlehetőséget.
A Főkulcs konfigurációja lapon konfiguráljon egy új oszlop főkulcsát, amelyet a varázsló fog létrehozni. Először ki kell választania, hogy hol szeretné tárolni az oszlop főkulcsát. A varázsló két kulcstároló-típust támogat:
- Azure Key Vault – ajánlott, ha az adatbázis az Azure-ban van
- Windows-tanúsítványtároló
Általában az Azure Key Vault az ajánlott lehetőség, különösen akkor, ha az adatbázis az Azure-ban található.
- Az Azure Key Vault használata:
  1. Válassza az Azure Key Vaultot.
  2. Válassza a Bejelentkezés lehetőséget, és fejezze be a bejelentkezést az Azure-ba.
  3. Miután bejelentkezett, a lapon megjelenik az előfizetések és a kulcstartók listája, amelyekhez hozzáférése van. Válassza ki a használni kívánt kulcstartót tartalmazó Azure-előfizetést.
  4. Válassza ki a kulcstartót.
  5. Válassza a Következőlehetőséget.
- A Windows tanúsítványtároló használata:
  1. Válassza a Windows tanúsítványtárolót.
  2. Hagyja meg az Aktuális felhasználó alapértelmezett beállítását – ez arra utasítja a varázslót, hogy hozzon létre egy tanúsítványt (az új oszlop főkulcsát) az Aktuális felhasználó tárolóban.
  3. Válassza a Következőlehetőséget.
A In-Place Titkosítási beállítások lapon nincs szükség további konfigurációra, mert az adatbázis nem rendelkezik enklávéval. Válassza a Következőlehetőséget.
A Futtatási beállítások lapon a rendszer megkérdezi, hogy folytatja-e a titkosítást, vagy létrehoz egy PowerShell-szkriptet, amelyet később végre szeretne hajtani. Hagyja meg az alapértelmezett beállításokat, és válassza a Tovább gombot.
Az Összegzés lapon a varázsló tájékoztatja a végrehajtandó műveletekről. Ellenőrizze, hogy minden információ helyes-e, és válassza a Befejezés lehetőséget.
Az Eredmények lapon figyelheti a varázsló műveleteinek előrehaladását. Várjon, amíg az összes művelet sikeresen befejeződik, és válassza a Bezárás lehetőséget.
(Nem kötelező) Ismerje meg a varázsló által az adatbázisban végrehajtott módosításokat.
1. Tárja fel a ContosoHR>Security>Always Encrypted Kulcsokat, hogy megismerje a varázsló által létrehozott oszlop főkulcs és oszloptitkosítás metaadat-objektumait.
2. Az alábbi lekérdezéseket a kulcs metaadatokat tartalmazó rendszerkatalógus-nézeteken is futtathatja.
```
SELECT * FROM sys.column_master_keys;
SELECT * FROM sys.column_encryption_keys
SELECT * FROM sys.column_encryption_key_values
```
3. Az Object Explorerben kattintson a jobb gombbal az Alkalmazottak táblára, és válassza a Szkripttábla>>. Ekkor megnyílik egy új lekérdezési ablak az Alkalmazottak tábla CREATE TABLE utasításával. Figyelje meg az SSN és a Fizetés oszlopok definícióiban megjelenő ENCRYPTED WITH záradékot.
4. Az alábbi lekérdezést a sys.columns használatával is futtathatja a két titkosított oszlop oszlopszintű titkosítási metaadatainak lekéréséhez.
```
SELECT
[name]
, [encryption_type]
, [encryption_type_desc]
, [encryption_algorithm_name]
, [column_encryption_key_id]
FROM sys.columns
WHERE [encryption_type] IS NOT NULL;
```

Hozzon létre egy oszlop főkulcsát a kulcstárolóban.

Ha Azure Key Vaultot használ, hajtsa végre az alábbi parancsokat egy aszimmetrikus kulcs létrehozásához a kulcstartóban. Győződjön meg arról, hogy megadja az előfizetés megfelelő azonosítóját, a kulcstartót tartalmazó erőforráscsoport nevét és a kulcstartó nevét.

Import-Module "Az"
Connect-AzAccount
$subscriptionId = "<your Azure subscription ID"
$resourceGroup = "your resource group name containing your key vault"
$keyVaultName = "your vault name"
$keyVaultKeyName = "your key name"

# Switch to your subscription.
Set-AzConteXt -SubscriptionId $subscriptionId

# To validate the above key vault settings, get the key vault properties.
Get-AzKeyVault -VaultName $keyVaultName -ResourceGroupName $resourceGroup 

# Create a key in the key vault.
$keyVaultKey = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyVaultKeyName -Destination "Software"
$keyVaultKey

Ha Windows-tanúsítványtárolót használ, hajtsa végre az alábbi parancsokat egy tanúsítvány létrehozásához az aktuális felhasználói tárolóban.

$cert = New-SelfSignedCertificate -Subject "HRCMK" -CertStoreLocation Cert:CurrentUser\My -KeyExportPolicy Exportable -Type DocumentEncryptionCert -KeyUsage DataEncipherment -KeySpec KeyExchange

Csatlakozzon az adatbázishoz az SqlServer PowerShell-modullal. Győződjön meg arról, hogy érvényes kapcsolati sztringet ad meg az adatbázishoz.
```
$database = Get-SqlDatabase -ConnectionString $connectionString
$database
```

Hozzon létre egy oszlop főkulcs metaadat-objektumot az adatbázisban, amely a kulcstárolóban létrehozott fizikai oszlop főkulcsra hivatkozik.

Ha Azure Key Vaultot használ, hajtsa végre az alábbi parancsokat.

# Sign in to Azure for the SqlServer PowerShell module
Add-SqlAzureAuthenticationContext -Interactive

# Create a SqlColumnMasterKeySettings in-memory object referencing the key you've created in your key vault. 
$cmkSettings = New-SqlAzureKeyVaultColumnMasterKeySettings -KeyURL $keyVaultKey.Key.Kid

# Create column master key metadata object (referencing your certificate), named CMK1, in the database.
$cmkName = "CMK1"
New-SqlColumnMasterKey -Name $cmkName -InputObject $database -ColumnMasterKeySettings $cmkSettings

Ha Windows-tanúsítványtárolót használ, hajtsa végre az alábbi parancsokat.

# Create a SqlColumnMasterKeySettings in-memory object referencing your certificate.
$cmkSettings = New-SqlCertificateStoreColumnMasterKeySettings -CertificateStoreLocation "CurrentUser" -Thumbprint $cert.Thumbprint

# Create column master key metadata object, named CMK1, in the database.
$cmkName = "CMK1"
New-SqlColumnMasterKey -Name $cmkName -InputObject $database -ColumnMasterKeySettings $cmkSettings

Hozzon létre egy oszloptitkosítási kulcsot, titkosítsa azt a létrehozott oszlopminta-kulccsal, és hozzon létre egy oszloptitkosítási kulcs metaadat-objektumot az adatbázisban.
```
$cekName = "CEK1"
New-SqlColumnEncryptionKey -Name $cekName -InputObject $database -ColumnMasterKey $cmkName
```
Az Alkalmazottak tábla SSN és Fizetés oszlopainak titkosítása . Válassza ki az SSN oszlop determinisztikus titkosítását, a Fizetés oszlop véletlenszerű titkosítását. A determinisztikus titkosítás támogatja a lekérdezéseket, például a titkosított oszlopok egyenlőségi összehasonlítását tartalmazó pontkereséseket. A véletlenszerű titkosítás nem támogatja a titkosított oszlopok számításait.
```
# Encrypt the SSN and Salary columns 
$ces = @()
$ces += New-SqlColumnEncryptionSettings -ColumnName "HR.Employees.SSN" -EncryptionType "Deterministic" -EncryptionKey $cekName
$ces += New-SqlColumnEncryptionSettings -ColumnName "HR.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey $cekName
Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory .
```

(Nem kötelező) Megismerheti az adatbázisban végrehajtott módosításokat.

Futtassa az alábbi parancsokat a rendszerkatalógus azon nézeteinek lekérdezéséhez, amelyek metaadatokat tartalmaznak az oszlop főkulcsáról és a létrehozott oszloptitkosítási kulcsról.

$query = @'
SELECT * FROM sys.column_master_keys;
SELECT * FROM sys.column_encryption_keys
SELECT * FROM sys.column_encryption_key_values
'@

Invoke-SqlCmd -ConnectionString $connectionString -Query $query

Futtassa az alábbi parancsokat a sys.columns lekérdezéséhez a két titkosított oszlop oszlopszintű titkosítási metaadatainak lekéréséhez.

$query = @'
SELECT
[name]
, [encryption_type]
, [encryption_type_desc]
, [encryption_algorithm_name]
, [column_encryption_key_id]
FROM sys.columns
WHERE [encryption_type] IS NOT NULL;
'@

Invoke-SqlCmd -ConnectionString $connectionString -Query $query

3. lépés: Titkosított oszlopok lekérdezése

SSMS
PowerShell

Csatlakozzon az adatbázishoz úgy, hogy az Always Encrypted le van tiltva a kapcsolathoz.
1. Nyisson meg egy új lekérdezési ablakot.
2. Kattintson a jobb gombbal a lekérdezés ablakának tetszőleges pontjára, és válassza a Kapcsolat>módosítása lehetőséget. Ekkor megnyílik a Csatlakozás adatbázismotorhoz párbeszédpanel.
3. Válassza a Beállítások<< lehetőséget. Ez további lapokat jelenít meg a Csatlakozás az adatbázismotorhoz párbeszédpanelen.
4. Válassza a Always Encrypted lapot.
5. Győződjön meg arról, hogy az Always Encrypted engedélyezése (oszloptitkosítás) nincs kiválasztva.
6. Válassza a Csatlakozás lehetőséget.
Illessze be és hajtsa végre a következő lekérdezést. A lekérdezésnek binárisan titkosított adatokat kell visszaadnia.
```
SELECT [SSN], [Salary] FROM [HR].[Employees]
```
Csatlakozzon az adatbázishoz úgy, hogy az Always Encrypted engedélyezve van a kapcsolathoz.
1. Kattintson a jobb gombbal a lekérdezés ablakának tetszőleges pontjára, és válassza a Kapcsolat>módosítása lehetőséget. Ekkor megnyílik a Csatlakozás adatbázismotorhoz párbeszédpanel.
2. Válassza a Beállítások<< lehetőséget. Ez további lapokat jelenít meg a Csatlakozás az adatbázismotorhoz párbeszédpanelen.
3. Válassza a Always Encrypted lapot.
4. Válassza az Always Encrypted engedélyezése (oszloptitkosítás) lehetőséget.
5. Válassza a Csatlakozás lehetőséget.
Futtassa le újra ugyanazt a lekérdezést. Mivel az adatbázis-kapcsolathoz engedélyezve van az Always Encrypted, az SSMS ügyfélillesztője megpróbálja visszafejteni a mindkét titkosított oszlopban tárolt adatokat. Ha az Azure Key Vaultot használja, előfordulhat, hogy a rendszer kérni fogja, hogy jelentkezzen be az Azure-ba.
Engedélyezze az Always Encrypted paraméterezését. Ez a funkció lehetővé teszi olyan lekérdezések futtatását, amelyek titkosított oszlopok alapján szűrik az adatokat (vagy adatokat szúrnak be titkosított oszlopokba).
1. Válassza a Lekérdezés lehetőséget az SSMS főmenüjében.
2. Válassza a Lekérdezési beállítások... lehetőséget.
3. Lépjen a Végrehajtás>Haladó elemre.
4. Győződjön meg arról, hogy az Always Encrypted paraméterezésének engedélyezése be van jelölve.
5. Kattintson az OK gombra.
Illessze be és hajtsa végre az alábbi lekérdezést, amely a titkosított SSN-oszlop alapján szűri az adatokat. A lekérdezésnek egy egyszerű szöveges értékeket tartalmazó sort kell visszaadnia.
```
DECLARE @SSN [char](11) = '795-73-9838'
SELECT [SSN], [Salary] FROM [HR].[Employees]
WHERE [SSN] = @SSN
```
Ha a hozzáférési szabályzat engedélymodelljével konfigurált Azure Key Vaultot használja, az alábbi lépéseket követve megtudhatja, hogy mi történik, ha egy felhasználó egyszerű szöveges adatokat próbál lekérni a titkosított oszlopokból anélkül, hogy hozzá kellene férnie az adatokat védő oszlop főkulcsához.
1. Távolítsa el saját magának a kulcsengedélyt unwrap a kulcstartó hozzáférési szabályzatában. További információ: Key Vault hozzáférési szabályzat hozzárendelése.
2. Mivel az SSMS-ügyfélmeghajtó 2 órán keresztül gyorsítótárazza a kulcstárból beszerzett oszloptitkosítási kulcsokat, zárja be az SSMS-t, és nyissa meg újra. Ez biztosítja, hogy a kulcsgyorsítótár üres legyen.
3. Csatlakozzon az adatbázishoz úgy, hogy az Always Encrypted engedélyezve van a kapcsolathoz.
4. Illessze be és hajtsa végre a következő lekérdezést. A lekérdezésnek a szükséges unwrap engedély hiányát jelző hibaüzenettel kell meghiúsulnia.
```
SELECT [SSN], [Salary] FROM [HR].[Employees]
```

Csatlakozzon az adatbázishoz az Always Encrypted letiltott használatával, és futtasson egy lekérdezést az adatok titkosított oszlopokból való beolvasásához. A lekérdezésnek titkosított adatokat kell visszaadnia bináris tömbökként.
```
$query = "SELECT [SSN], [Salary] FROM [HR].[Employees]"
Invoke-SqlCmd -ConnectionString $connectionString -Query $query
```
Csatlakozzon az adatbázishoz az Always Encrypted engedélyezésével, és futtasson egy lekérdezést az adatok titkosított oszlopokból való beolvasásához. Mivel hozzáfér a titkosított oszlopokat védő oszlop főkulcsához, a lekérdezésnek egyszerű szöveges adatokat kell visszaadnia.
```
$query = "SELECT [SSN], [Salary] FROM [HR].[Employees]"
Invoke-SqlCmd -ConnectionString "$connectionString; Column Encryption Setting = Enabled" -Query $query
```

Megjegyzés:

Az Invoke-SqlCmd nem támogatja azokat a lekérdezéseket, amelyek adatokat szűrhetnek vagy beszúrhatnak titkosított oszlopokba. Az ilyen lekérdezéseket paraméteresen kell megadni, és az Invoke-SqlCmd nem támogatja a paraméteres lekérdezéseket.

Következő lépések

Alkalmazások fejlesztése Always Encrypted használatával

Lásd még

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2025-11-25