Tutorial: Mulai menggunakan Always Encrypted

Berlaku untuk: SQL ServerAzure SQL Database Azure SQL Managed Instance

Tutorial ini mengajarkan Anda cara memulai Always Encrypted. Ini akan menunjukkan kepada Anda:

• Cara mengenkripsi kolom yang dipilih di database Anda.
• Cara mengkueri kolom terenkripsi.

Catatan

Jika Anda mencari informasi tentang Always Encrypted dengan enklave aman, lihat tutorial berikut:

• Mulai menggunakan Always Encrypted dengan enklave aman
• Tutorial: Mulai menggunakan Always Encrypted dengan enklave aman di SQL Server

Prasyarat

Untuk tutorial ini, Anda perlu:

• Database kosong di Azure SQL Database, Azure SQL Managed Instance, atau SQL Server. Instruksi di bawah ini mengasumsikan nama database adalah ContosoHR. Anda harus menjadi pemilik database (anggota peran db_owner ). Untuk informasi tentang cara membuat database, lihat Mulai Cepat: Membuat database tunggal - Azure SQL Database atau Membuat database di SQL Server.
• Opsional, tetapi direkomendasikan, terutama jika database Anda berada di Azure: brankas kunci di Azure Key Vault. Untuk informasi tentang cara membuat brankas kunci, lihat Mulai Cepat: Membuat brankas kunci menggunakan portal Azure.
  • Jika brankas kunci Anda menggunakan model izin kebijakan akses, pastikan Anda memiliki izin kunci berikut di brankas kunci: get, , list, createunwrap key, wrap key, verify, sign. Lihat Menetapkan kebijakan akses Key Vault.
  • Jika Anda menggunakan model izin kontrol akses berbasis peran Azure (RBAC), pastikan Anda adalah anggota peran Petugas Kripto Key Vault untuk brankas kunci Anda. Lihat Menyediakan akses ke kunci, sertifikat, dan rahasia Key Vault dengan kontrol akses berbasis peran Azure.
• Versi terbaru SQL Server Management Studio (SSMS) atau versi terbaru modul SqlServer dan Az PowerShell. Modul Az PowerShell diperlukan hanya jika Anda menggunakan Azure Key Vault.

Langkah 1: Membuat dan mengisi skema database

Dalam langkah ini, Anda akan membuat skema SDM dan tabel Karyawan . Kemudian, Anda akan mengisi tabel dengan beberapa data.

SSMS

1. Sambungkan ke database Anda. Untuk instruksi tentang cara menyambungkan ke database dari SQL Server Management Studio (SSMS), lihat Mulai Cepat: Menyambungkan dan mengkueri Azure SQL Database atau Azure SQL Managed Instance menggunakan SQL Server Management Studio (SSMS) atau Mulai Cepat: Menyambungkan dan mengkueri instans SQL Server menggunakan SQL Server Management Studio (SSMS).

2. Buka jendela kueri baru untuk database ContosoHR .

3. Tempel dan jalankan pernyataan di bawah ini untuk membuat tabel baru, bernama Karyawan.

   CREATE SCHEMA [HR];
   GO
   
   CREATE TABLE [HR].[Employees]
   (
       [EmployeeID] [int] IDENTITY(1,1) NOT NULL
       , [SSN] [char](11) NOT NULL
       , [FirstName] [nvarchar](50) NOT NULL
       , [LastName] [nvarchar](50) NOT NULL
       , [Salary] [money] NOT NULL
   ) ON [PRIMARY];
   

4. Tempel dan jalankan pernyataan di bawah ini untuk menambahkan beberapa catatan karyawan ke tabel Karyawan .

   INSERT INTO [HR].[Employees]
   (
       [SSN]
       , [FirstName]
       , [LastName]
       , [Salary]
   )
   VALUES
   (
       '795-73-9838'
       , N'Catherine'
       , N'Abel'
       , $31692
   );
   
   INSERT INTO [HR].[Employees]
   (
       [SSN]
       , [FirstName]
       , [LastName]
       , [Salary]
   )
   VALUES
   (
       '990-00-6818'
       , N'Kim'
       , N'Abercrombie'
       , $55415
   );
   

PowerShell

Dalam sesi PowerShell, jalankan perintah berikut. Pastikan Anda memperbarui string koneksi dengan alamat server dan pengaturan autentikasi yang valid untuk database Anda.

Import-Module "SqlServer"

# Set your database connection string
$connectionString = "Server = myServerAddress; Database = ContosoHR; ..."

# Create a new table, named Employees.
$query = @'
    CREATE SCHEMA [HR];
    GO
    
    CREATE TABLE [HR].[Employees]
    (
        [EmployeeID] [int] IDENTITY(1,1) NOT NULL
        , [SSN] [char](11) NOT NULL
        , [FirstName] [nvarchar](50) NOT NULL
        , [LastName] [nvarchar](50) NOT NULL
        , [Salary] [money] NOT NULL
    ) ON [PRIMARY];
'@
Invoke-SqlCmd -ConnectionString $connectionString -Query $query

# Add a few rows to the Employees table.
$query = @'
    INSERT INTO [HR].[Employees]
    (
        [SSN]
        , [FirstName]
        , [LastName]
        , [Salary]
    )
    VALUES
    (
        '795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692
    );

    INSERT INTO [HR].[Employees]
    (
        [SSN]
        , [FirstName]
        , [LastName]
        , [Salary]
    )
    VALUES
    (
        '990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415
    );
'@
Invoke-SqlCmd -ConnectionString $connectionString -Query $query

Langkah 2: Mengenkripsi kolom

Dalam langkah ini, Anda akan menyediakan kunci master kolom dan kunci enkripsi kolom untuk Always Encrypted. Kemudian, Anda akan mengenkripsi kolom SSN dan Gaji di tabel Karyawan .

SSMS

SSMS menyediakan wizard yang membantu Anda mengonfigurasi Always Encrypted dengan mudah dengan menyiapkan kunci master kolom, kunci enkripsi kolom, dan mengenkripsi kolom yang dipilih.

1. Di Object Explorer, perluas Tabel ContosoHR>Database.>

2. Klik kanan tabel Karyawan dan pilih Enkripsi Kolom untuk membuka wizard Always Encrypted.

   

3. Pilih Berikutnya di halaman Pengenalan wizard.

4. Pada halaman Pilihan Kolom.

   1. Pilih kolom SSN dan Gaji . Pilih enkripsi deterministik untuk kolom SSN dan enkripsi acak untuk kolom Gaji . Enkripsi deterministik mendukung kueri, seperti pencarian titik yang melibatkan perbandingan kesetaraan pada kolom terenkripsi. Enkripsi acak tidak mendukung komputasi apa pun pada kolom terenkripsi.
   2. Biarkan CEK-Auto1 (Baru) sebagai kunci enkripsi kolom untuk kedua kolom. Kunci ini belum ada dan akan dihasilkan oleh wizard.
   3. Pilih Selanjutnya.

   

5. Pada halaman Konfigurasi Kunci Master, konfigurasikan kunci master kolom baru yang akan dihasilkan oleh wizard. Pertama, Anda perlu memilih di mana Anda ingin menyimpan kunci master kolom Anda. Wizard mendukung dua jenis penyimpanan kunci:

   • Azure Key Vault - disarankan jika database Anda berada di Azure
   • Toko sertifikat Windows

   Secara umum, Azure Key Vault adalah opsi yang direkomendasikan, terutama jika database Anda berada di Azure.

   • Untuk menggunakan Azure Key Vault:

     1. Pilih Azure Key Vault.
     2. Pilih Masuk dan selesai masuk ke Azure.
     3. Setelah Anda masuk, halaman akan menampilkan daftar langganan dan brankas kunci, yang dapat Anda akses. Pilih langganan Azure yang berisi brankas kunci, yang ingin Anda gunakan.
     4. Pilih brankas kunci Anda.
     5. Pilih Selanjutnya.

     

   • Untuk menggunakan penyimpanan sertifikat Windows:

     1. Pilih Penyimpanan sertifikat Windows.

     2. Biarkan pilihan default Pengguna Saat Ini - ini akan menginstruksikan wizard untuk membuat sertifikat (kunci master kolom baru Anda) di penyimpanan Pengguna Saat Ini.

        

     3. Pilih Selanjutnya.

6. Pada halaman Pengaturan Enkripsi Di Tempat, tidak ada konfigurasi tambahan yang diperlukan karena database tidak mengaktifkan enklave. Pilih Selanjutnya.

7. Pada halaman Jalankan Pengaturan , Anda akan ditanya apakah Anda ingin melanjutkan enkripsi atau membuat skrip PowerShell untuk dijalankan nanti. Biarkan pengaturan default dan pilih Berikutnya.

8. Pada halaman Ringkasan , wizard memberi tahu Anda tentang tindakan yang akan dijalankannya. Periksa semua informasi sudah benar dan pilih Selesai.

9. Pada halaman Hasil , Anda bisa memantau kemajuan operasi wizard. Tunggu hingga semua operasi berhasil diselesaikan dan pilih Tutup.

   

10. (Opsional) Jelajahi perubahan yang telah dibuat wizard di database Anda.

    1. Perluas Kunci Always Encrypted Keamanan>ContosoHR>untuk menjelajahi objek metadata untuk kunci master kolom dan enkripsi kolom yang dibuat wizard.

    2. Anda juga dapat menjalankan kueri di bawah ini terhadap tampilan katalog sistem yang berisi metadata kunci.

       SELECT * FROM sys.column_master_keys;
       SELECT * FROM sys.column_encryption_keys
       SELECT * FROM sys.column_encryption_key_values
       

    3. Di Object Explorer, klik kanan tabel Karyawan dan pilih Tabel Skrip sebagai>BUAT Ke>Jendela Editor Kueri Baru. Ini akan membuka jendela kueri baru dengan pernyataan CREATE TABLE untuk tabel Karyawan . Perhatikan klausa ENCRYPTED WITH yang muncul dalam definisi kolom SSN dan Gaji.

    4. Anda juga dapat menjalankan kueri di bawah ini terhadap sys.columns untuk mengambil metadata enkripsi tingkat kolom untuk dua kolom terenkripsi.

       SELECT
       [name]
       , [encryption_type]
       , [encryption_type_desc]
       , [encryption_algorithm_name]
       , [column_encryption_key_id]
       FROM sys.columns
       WHERE [encryption_type] IS NOT NULL;
       

PowerShell

1. Buat kunci master kolom di penyimpanan kunci Anda.

   • Jika Anda menggunakan Azure Key Vault, jalankan perintah di bawah ini untuk membuat kunci asimetris di brankas kunci Anda. Pastikan Anda memberikan ID langganan yang benar, nama grup sumber daya yang berisi brankas kunci, dan nama brankas kunci Anda.

     Import-Module "Az"
     Connect-AzAccount
     $subscriptionId = "<your Azure subscription ID"
     $resourceGroup = "your resource group name containing your key vault"
     $keyVaultName = "your vault name"
     $keyVaultKeyName = "your key name"
     
     # Switch to your subscription.
     Set-AzConteXt -SubscriptionId $subscriptionId
     
     # To validate the above key vault settings, get the key vault properties.
     Get-AzKeyVault -VaultName $keyVaultName -ResourceGroupName $resourceGroup 
     
     # Create a key in the key vault.
     $keyVaultKey = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyVaultKeyName -Destination "Software"
     $keyVaultKey
     

   • Jika Anda menggunakan penyimpanan sertifikat Windows, jalankan perintah di bawah ini untuk membuat sertifikat di penyimpanan Pengguna Saat Ini.

     $cert = New-SelfSignedCertificate -Subject "HRCMK" -CertStoreLocation Cert:CurrentUser\My -KeyExportPolicy Exportable -Type DocumentEncryptionCert -KeyUsage DataEncipherment -KeySpec KeyExchange
     

2. Sambungkan ke database Anda, menggunakan modul SqlServer PowerShell. Pastikan Anda menyediakan string koneksi yang valid untuk database Anda.

   $database = Get-SqlDatabase -ConnectionString $connectionString
   $database
   

3. Provisikan objek metadata kunci master kolom (yang mereferensikan kunci master kolom fisik yang telah Anda buat di penyimpanan kunci Anda) di database Anda.

   • Jika Anda menggunakan Azure Key Vault, jalankan perintah di bawah ini.

     # Sign in to Azure for the SqlServer PowerShell module
     Add-SqlAzureAuthenticationContext -Interactive
     
     # Create a SqlColumnMasterKeySettings in-memory object referencing the key you've created in your key vault. 
     $cmkSettings = New-SqlAzureKeyVaultColumnMasterKeySettings -KeyURL $keyVaultKey.Key.Kid
     
     # Create column master key metadata object (referencing your certificate), named CMK1, in the database.
     $cmkName = "CMK1"
     New-SqlColumnMasterKey -Name $cmkName -InputObject $database -ColumnMasterKeySettings $cmkSettings
     

   • Jika Anda menggunakan penyimpanan sertifikat Windows, jalankan perintah di bawah ini.

     # Create a SqlColumnMasterKeySettings in-memory object referencing your certificate.
     $cmkSettings = New-SqlCertificateStoreColumnMasterKeySettings -CertificateStoreLocation "CurrentUser" -Thumbprint $cert.Thumbprint
     
     # Create column master key metadata object, named CMK1, in the database.
     $cmkName = "CMK1"
     New-SqlColumnMasterKey -Name $cmkName -InputObject $database -ColumnMasterKeySettings $cmkSettings
     

4. Buat kunci enkripsi kolom, enkripsikan dengan kunci master kolom yang telah Anda buat, dan buat objek metadata kunci enkripsi kolom dalam database.

   $cekName = "CEK1"
   New-SqlColumnEncryptionKey -Name $cekName -InputObject $database -ColumnMasterKey $cmkName
   

5. Enkripsi kolom SSN dan Gaji di Tabel Karyawan . Pilih enkripsi deterministik untuk kolom SSN dan enkripsi acak untuk kolom Gaji . Enkripsi deterministik mendukung kueri, seperti pencarian titik yang melibatkan perbandingan kesetaraan pada kolom terenkripsi. Enkripsi acak tidak mendukung komputasi apa pun pada kolom terenkripsi.

   # Encrypt the SSN and Salary columns 
   $ces = @()
   $ces += New-SqlColumnEncryptionSettings -ColumnName "HR.Employees.SSN" -EncryptionType "Deterministic" -EncryptionKey $cekName
   $ces += New-SqlColumnEncryptionSettings -ColumnName "HR.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey $cekName
   Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory .
   
   

6. (Opsional) Jelajahi perubahan, yang telah Anda buat di database Anda.

   • Jalankan perintah di bawah ini untuk mengkueri tampilan katalog sistem yang berisi metadata tentang kunci master kolom dan kunci enkripsi kolom yang Anda buat.

     $query = @'
     SELECT * FROM sys.column_master_keys;
     SELECT * FROM sys.column_encryption_keys
     SELECT * FROM sys.column_encryption_key_values
     '@
     
     Invoke-SqlCmd -ConnectionString $connectionString -Query $query
     

   • Jalankan perintah di bawah ini untuk mengkueri sys.columns untuk mengambil metadata enkripsi tingkat kolom untuk dua kolom terenkripsi.

     $query = @'
     SELECT
     [name]
     , [encryption_type]
     , [encryption_type_desc]
     , [encryption_algorithm_name]
     , [column_encryption_key_id]
     FROM sys.columns
     WHERE [encryption_type] IS NOT NULL;
     '@
     
     Invoke-SqlCmd -ConnectionString $connectionString -Query $query
     

Langkah 3: Mengkueri kolom terenkripsi

SSMS

1. Sambungkan ke database Anda dengan Always Encrypted dinonaktifkan untuk koneksi Anda.

   1. Buka jendela kueri baru.
   2. Klik kanan di mana saja di jendela kueri dan pilih Koneksi>Ubah Koneksi. Ini akan membuka dialog Sambungkan ke Mesin Database.
   3. Pilih Opsi <<. Ini akan menampilkan tab tambahan dalam dialog Sambungkan ke Mesin Database.
   4. Pilih tab Always Encrypted.
   5. Pastikan Aktifkan Always Encrypted (enkripsi kolom) tidak dipilih.
   6. Pilih Sambungkan.

   

2. Tempelkan dan jalankan kueri berikut. Kueri harus mengembalikan data terenkripsi biner.

   SELECT [SSN], [Salary] FROM [HR].[Employees]
   

   

3. Sambungkan ke database Anda dengan Always Encrypted diaktifkan untuk koneksi Anda.

   1. Klik kanan di mana saja di jendela kueri dan pilih Koneksi>Ubah Koneksi. Ini akan membuka dialog Sambungkan ke Mesin Database.
   2. Pilih Opsi <<. Ini akan menampilkan tab tambahan dalam dialog Sambungkan ke Mesin Database.
   3. Pilih tab Always Encrypted.
   4. Pilih Aktifkan Always Encrypted (enkripsi kolom).
   5. Pilih Sambungkan.

   

4. Jalankan ulang kueri yang sama. Karena Anda terhubung dengan Always Encrypted diaktifkan untuk koneksi database Anda, driver klien di SQL Server Management Directory akan mencoba mendekripsi data yang disimpan di kedua kolom terenkripsi. Jika Anda menggunakan Azure Key Vault, Anda mungkin diminta untuk masuk ke Azure.

   

5. Aktifkan Parameterisasi untuk Always Encrypted. Fitur ini memungkinkan Anda menjalankan kueri yang memfilter data menurut kolom terenkripsi (atau menyisipkan data ke kolom terenkripsi).

   1. Pilih Kueri dari menu utama SSMS.
   2. Pilih Opsi Kueri....
   3. Navigasi ke Eksekusi>Tingkat Lanjut.
   4. Pastikan Aktifkan Parameterisasi untuk Always Encrypted dicentang.
   5. Pilih OK.

   

6. Tempelkan dan jalankan kueri di bawah ini, yang memfilter data menurut kolom SSN terenkripsi. Kueri harus mengembalikan satu baris yang berisi nilai teks biasa.

   DECLARE @SSN [char](11) = '795-73-9838'
   SELECT [SSN], [Salary] FROM [HR].[Employees]
   WHERE [SSN] = @SSN
   

7. Secara opsional, jika Anda menggunakan Azure Key Vault yang dikonfigurasi dengan model izin kebijakan akses, ikuti langkah-langkah di bawah ini untuk melihat apa yang terjadi ketika pengguna mencoba mengambil data teks biasa dari kolom terenkripsi tanpa memiliki akses ke kunci master kolom yang melindungi data.

   1. Hapus izin kunci unwrap untuk diri Anda sendiri dalam kebijakan akses untuk brankas kunci Anda. Untuk informasi selengkapnya, lihat Menetapkan kebijakan akses Key Vault.
   2. Karena driver klien di SQL Server Management Studio menyimpan kunci enkripsi kolom yang diperoleh dari brankas kunci selama 2 jam, tutup SSMS dan buka lagi. Ini akan memastikan cache kunci kosong.
   3. Sambungkan ke database Anda dengan Always Encrypted diaktifkan untuk koneksi Anda.
   4. Tempelkan dan jalankan kueri berikut. Kueri harus gagal dengan pesan kesalahan yang menunjukkan Bahwa Anda tidak memiliki izin yang diperlukan unwrap .

   SELECT [SSN], [Salary] FROM [HR].[Employees]
   

PowerShell

1. Sambungkan ke database Anda dengan Always Encrypted dinonaktifkan dan jalankan kueri untuk membaca data dari kolom terenkripsi. Kueri harus mengembalikan data terenkripsi sebagai array biner.

   $query = "SELECT [SSN], [Salary] FROM [HR].[Employees]"
   Invoke-SqlCmd -ConnectionString $connectionString -Query $query
   

2. Sambungkan ke database Anda dengan Always Encrypted diaktifkan dan jalankan kueri untuk membaca data dari kolom terenkripsi. Karena Anda memiliki akses ke kunci master kolom yang melindungi kolom terenkripsi Anda, kueri harus mengembalikan data teks biasa.

   $query = "SELECT [SSN], [Salary] FROM [HR].[Employees]"
   Invoke-SqlCmd -ConnectionString "$connectionString; Column Encryption Setting = Enabled" -Query $query
   

Catatan

Invoke-SqlCmd tidak mendukung kueri yang dapat memfilter menurut atau menyisipkan data ke kolom terenkripsi. Kueri semacam itu perlu diparameterkan, dan Invoke-SqlCmd tidak mendukung kueri berparameter.

Langkah berikutnya

• Mengembangkan aplikasi menggunakan Always Encrypted

Lihat juga

• Dokumentasi Always Encrypted
• Always Encrypted dengan dokumentasi enklave aman
• Menyediakan kunci Always Encrypted menggunakan SQL Server Management Studio
• Mengonfigurasi Always Encrypted menggunakan PowerShell
• Wizard Always Encrypted
• Kolom kueri menggunakan Always Encrypted dengan SQL Server Management Studio