Mengonfigurasi enkripsi kolom di tempat dengan paket DAC
Berlaku untuk:
SQL ServerAzure SQL Database
Paket aplikasi tingkat data (DAC), juga dikenal sebagai DACPAC, adalah unit portabel penyebaran database SQL Server yang menentukan semua objek SQL Server, termasuk tabel dan kolom di dalam tabel. Saat Anda menerbitkan DACPAC ke database (saat Anda meningkatkan database menggunakan DACPAC), skema database target akan diperbarui agar sesuai dengan skema di DACPAC. Anda dapat menerbitkan DACPAC menggunakan Wizard Peningkatan Aplikasi tingkat Data di SQL Server Management Studio, PowerShell, atau sqlpackage.
Artikel ini membahas pertimbangan khusus untuk meningkatkan database saat DACPAC atau/dan database target berisi kolom yang dilindungi dengan Always Encrypted. Jika skema enkripsi untuk kolom di DACPAC berbeda dari skema enkripsi untuk kolom yang ada di database target, menerbitkan DACPAC menghasilkan enkripsi, dekripsi, atau mengenkripsi ulang data yang disimpan di kolom. Lihat tabel di bawah ini untuk detailnya.
| Kondisi | Tindakan |
|---|---|
| Kolom dienkripsi di DACPAC dan tidak dienkripsi dalam database. | Data dalam kolom akan dienkripsi. |
| Kolom tidak dienkripsi di DACPAC dan dienkripsi dalam database. | Data dalam kolom akan didekripsi (enkripsi akan dihapus untuk kolom). |
| Kolom dienkripsi baik di DACPAC maupun database, tetapi kolom di DACPAC menggunakan jenis enkripsi atau/dan kunci enkripsi kolom yang berbeda dari kolom yang sesuai dalam database. | Data dalam kolom akan didekripsi dan kemudian dienkripsi ulang agar sesuai dengan konfigurasi enkripsi di DACPAC. |
Menyebarkan paket DAC juga dapat mengakibatkan pembuatan atau penghapusan objek metadata untuk kunci master kolom atau kunci enkripsi kolom untuk Always Encrypted.
Catatan
Jika Anda menggunakan SQL Server 2019 (15.x) atau yang lebih baru atau Azure SQL Database, dan instans atau database SQL Server Anda dikonfigurasi dengan enklave aman, Anda dapat menjalankan operasi kriptografi di tempat, tanpa memindahkan data keluar dari database. Lihat Mengonfigurasi enkripsi kolom di tempat menggunakan Always Encrypted dengan enklave aman. Untuk memicu enkripsi di tempat dengan paket DAC, pengguna perlu menentukan properti EnclaveAttestationProtocol dan EnclaveAttestationUrl .
Izin untuk menerbitkan paket DAC jika Always Encrypted dengan enklave aman disiapkan
Untuk menerbitkan paket DAC jika Always Encrypted dengan enklave aman disiapkan di DACPAC atau/dan dalam database target, Anda mungkin memerlukan beberapa atau semua izin di bawah ini, tergantung pada perbedaan antara skema di DACPAC dan skema database target.
UBAH KUNCI MASTER KOLOM APA PUN, UBAH KUNCI ENKRIPSI KOLOM APA PUN, LIHAT DEFINISI KUNCI MASTER KOLOM APA PUN, LIHAT DEFINISI KUNCI ENKRIPSI KOLOM APA PUN
Jika operasi peningkatan memicu operasi enkripsi data, Anda juga memerlukan izin penyimpanan kunci untuk mengakses dan menggunakan kunci master kolom Anda. Untuk informasi terperinci tentang izin penyimpanan kunci, buka Memprovisikan kunci yang diaktifkan enklave dan temukan bagian yang relevan untuk penyimpanan kunci Anda.
Langkah berikutnya
- Mengembangkan aplikasi menggunakan Always Encrypted dengan enklave aman
- Menjalankan pernyataan Transact-SQL menggunakan enklave aman
Baca juga
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk