Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
SQL ServerAzure SQL DatabaseAzure SQL Felügyelt Példány
Ha a titkosított adatokat anélkül szeretné betölteni, hogy metaadat-ellenőrzéseket végez a kiszolgálón a tömeges másolási műveletek során, hozza létre a felhasználót a ALLOW_ENCRYPTED_VALUE_MODIFICATIONS beállítással. Ezt a beállítást régi eszközök vagy külső féltől származó Extract-Transform-Load (ETL) munkafolyamatok használják, amelyek nem tudják használni az Always Encryptedt. Ez lehetővé teszi a felhasználó számára, hogy biztonságosan áthelyezhesse a titkosított adatokat egy táblakészletből, amely titkosított oszlopokat tartalmaz, egy másik, titkosított oszlopokkal rendelkező táblába (ugyanabban vagy egy másik adatbázisban).
Az ALLOW_ENCRYPTED_VALUE_MODIFICATIONS lehetőség
A CREATE USER és az ALTER USER is rendelkezik lehetőséggel ALLOW_ENCRYPTED_VALUE_MODIFICATIONS . Ha az alapértelmezett ONértékre OFF van állítva, ez a beállítás letiltja a titkosítási metaadatok ellenőrzését a kiszolgálón tömeges másolási műveletek során, így a felhasználó tömegesen másolhat titkosított adatokat táblák vagy adatbázisok között az adatok visszafejtése nélkül.
Adatáttelepítési esetek
Az alábbi táblázat a különböző migrálási forgatókönyvekhez megfelelő ajánlott beállításokat mutatja be.
Titkosított adatok tömeges betöltése
A titkosított adatok betöltéséhez használja az alábbi folyamatot.
Állítsa be a
ONopciót annak az adatbázis felhasználónak, amely a tömeges másolási művelet célja. Például:ALTER USER Bob WITH ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = ON;Futtassa a tömeges másolási alkalmazást vagy eszközt azzal a felhasználóval csatlakozva. (Ha az alkalmazás Always Encrypted-kompatibilis ügyfélillesztőt használ, győződjön meg arról, hogy az adatforrás kapcsolati sztringje nem tartalmazza
column encryption setting=enabled, hogy a titkosított oszlopokból lekért adatok titkosítva maradnak.) További információ: Alkalmazások fejlesztése Always Encrypted használatával.)Állítsa vissza a
ALLOW_ENCRYPTED_VALUE_MODIFICATIONSbeállítást a következőreOFF: . Például:ALTER USER Bob WITH ALLOW_ENCRYPTED_VALUE_MODIFICATIONS = OFF;
Adatsérülés lehetősége
A beállítás helytelen használata adatsérüléshez vezethet. A ALLOW_ENCRYPTED_VALUE_MODIFICATIONS beállítás lehetővé teszi, hogy a felhasználó bármilyen adatot beszúrjon az adatbázis titkosított oszlopaiba, beleértve a különböző kulcsokkal titkosított, helytelenül titkosított vagy egyáltalán nem titkosított adatokat. Ha a felhasználó véletlenül a céloszlophoz beállított titkosítási séma (oszloptitkosítási kulcs, algoritmus, titkosítási típus) használatával másolja át a nem megfelelően titkosított adatokat, nem tudja visszafejteni az adatokat (az adatok sérültek). Ezt a beállítást körültekintően kell használni, mivel az az adatbázis adatainak sérüléséhez vezethet.
Az alábbi forgatókönyv bemutatja, hogy az adatok helytelen importálása milyen adatsérüléshez vezethet:
A beállítás
ONértékre van állítva egy felhasználó számára.A felhasználó futtatja az adatbázishoz csatlakozó alkalmazást. Az alkalmazás tömeges API-k használatával egyszerű szöveges értékeket szúr be a titkosított oszlopokba. Az alkalmazás elvárja, hogy egy Always Encrypted-kompatibilis ügyfélillesztő titkosítsa az adatokat a beszúráskor. Az alkalmazás azonban helytelenül van konfigurálva, így vagy olyan illesztőprogramot használ, amely nem támogatja az Always Encryptedt, vagy a kapcsolati sztring nem tartalmaz
column encryption setting=enabled.Az alkalmazás egyszerű szöveges értékeket küld a kiszolgálónak. Mivel a titkosítási metaadatok ellenőrzése le van tiltva a felhasználó kiszolgálóján, a kiszolgáló lehetővé teszi a helytelen adatok (a helyesen titkosított titkosítás helyett egyszerű szöveg) beillesztését egy titkosított oszlopba.
Ugyanaz vagy egy másik alkalmazás egy Always Encrypted-kompatibilis illesztőprogrammal és a kapcsolati sztringgel
column encryption setting=enabledcsatlakozik az adatbázishoz, és lekéri az adatokat. Az alkalmazás elvárja, hogy az adatok transzparensen visszafejthetők legyenek. Az illesztő azonban nem tudja visszafejteni az adatokat, mert az adatok helytelen rejtjelszövegek.
Ajánlott eljárás
Ezzel a beállítással használhatja a kijelölt felhasználói fiókokat a hosszú ideig futó számítási feladatokhoz.
Ha rövid ideig futtatja a titkosított adatokat visszafejtés nélkül áthelyezni kívánt tömeges másolási alkalmazásokat vagy eszközöket, állítsa be a beállítást ON közvetlenül az alkalmazás futtatása előtt, és állítsa vissza azonnal kikapcsolva állapotba a művelet futtatása után.
Ne használja ezt a lehetőséget új alkalmazások fejlesztéséhez. Ehelyett használjon egy olyan ügyfélillesztőt, amely api-t kínál a titkosítási metaadatok egyetlen munkamenetre történő ellenőrzésének letiltásához, például az AllowEncryptedValueModifications SQL Serverhez készült .NET-keretrendszer adatszolgáltatójának beállítását – lásd: Titkosított adatok másolása az SqlBulkCopy használatával.
Kapcsolódó tartalom
- Mindig Titkosított
- Adatok áttelepítése oszlopokba vagy oszlopokból a Mindig titkosított opcióval az SQL Server Importálás és Exportálás Varázslóval
- CREATE USER (Transact-SQL)
- ALTER USER (Transact-SQL)
- Oszlopok lekérdezése az Always Encrypted használatával az SQL Server Management Studio-ban
- Alkalmazások fejlesztése Always Encrypted használatával