Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk:
SQL ServerAzure SQL DatabaseAzure SQL Managed Instance
Always Encrypted Wizard adalah alat canggih yang memungkinkan Anda mengatur konfigurasi Always Encrypted yang diinginkan untuk kolom database yang dipilih. Bergantung pada konfigurasi saat ini dan konfigurasi target yang diinginkan, wizard dapat mengenkripsi kolom, mendekripsinya (menghapus enkripsi), atau mengenkripsi ulang (misalnya, menggunakan kunci enkripsi kolom baru atau jenis enkripsi yang berbeda dari jenis saat ini, yang dikonfigurasi untuk kolom). Beberapa kolom dapat dikonfigurasi dalam satu eksekusi wizard.
Wizard ini memungkinkan Anda mengenkripsi kolom dengan kunci enkripsi kolom yang sudah ada, atau Anda bisa memilih untuk membuat kunci enkripsi kolom baru atau kunci enkripsi kolom baru dan kunci master kolom baru.
Saat database Anda dikonfigurasi dengan enklave aman, Anda dapat menjalankan operasi kriptografi di tempat, tanpa memindahkan data dari database. Wizard menghapus semua dependensi yang memblokir perubahan skema kolom yang akan dienkripsi. Ini mengeluarkan enkripsi di tempat untuk setiap kolom dengan menggunakan enklave dalam mesin database. Setelah enkripsi selesai, wizard membuat ulang dependensi. Untuk informasi selengkapnya mengenai Always Encrypted dengan enklave aman, lihat Always Encrypted dengan enklave aman.
Ketika database Anda belum dikonfigurasi dengan enklave aman, wizard akan memberi Anda kesempatan untuk mengaktifkan enklave aman. Jika Anda memilih untuk tidak mengaktifkan enklave aman atau tidak menggunakan kunci yang diaktifkan oleh enklave, wizard bekerja dengan memindahkan data keluar dari database dan melakukan operasi kriptografi dalam proses SQL Server Management Studio (SSMS). Wizard membuat tabel baru (atau tabel) dengan konfigurasi enkripsi yang diinginkan dalam database, memuat semua data dari tabel asli, melakukan operasi kriptografi yang diminta, mengunggah data ke tabel baru, lalu menukar tabel asli dengan tabel baru.
Petunjuk / Saran
Menggunakan enkripsi di tempat menggunakan Always Encrypted dengan enklave aman, jika tersedia di lingkungan Anda, mungkin secara substansial mengurangi waktu dan keandalan operasi kriptografi.
Catatan
Menjalankan operasi kriptografi dapat memakan waktu lama. Selama waktu itu, database Anda tidak tersedia untuk menulis transaksi. PowerShell adalah alat yang direkomendasikan untuk operasi kriptografi pada tabel yang lebih besar. Lihat Mengonfigurasi enkripsi kolom menggunakan Always Encrypted dengan PowerShell atau Mengonfigurasi enkripsi kolom di tempat dengan PowerShell.
Untuk panduan menyeluruh yang memperlihatkan cara mengonfigurasi Always Encrypted dengan wizard dan menggunakannya dalam aplikasi klien, lihat tutorial Azure SQL Database berikut ini:
Untuk informasi tentang kunci Always Encrypted, lihat Gambaran umum manajemen kunci untuk Always Encrypted.
Untuk informasi tentang jenis enkripsi yang didukung di Always Encrypted, lihat Memilih Enkripsi Deterministik atau Acak.
Izin
Untuk melakukan operasi kriptografi menggunakan wizard, Anda harus memiliki izin LIHAT DEFINISI KUNCI MASTER KOLOM APA PUN dan LIHAT DEFINISI KUNCI ENKRIPSI KOLOM APA PUN . Anda juga memerlukan izin penyimpanan kunci untuk membuat, mengakses, dan menggunakan kunci master kolom Anda. Untuk informasi terperinci tentang izin penyimpanan kunci, buka Membuat dan menyimpan kunci master kolom untuk Always Encrypted atau dan temukan bagian yang relevan untuk penyimpanan kunci Anda.
Buka Wizard Always Encrypted
Anda dapat meluncurkan wizard pada tiga tingkat berbeda:
- Pada tingkat database - jika Anda ingin mengenkripsi beberapa kolom yang terletak di tabel yang berbeda.
- Pada tingkat tabel - jika Anda ingin mengenkripsi beberapa kolom yang terletak di tabel yang sama.
- Pada tingkat kolom - jika Anda ingin mengenkripsi satu kolom tertentu.
Sambungkan ke SQL Server Anda dengan komponen Object Explorer dari SQL Server Management Studio.
Untuk mengenkripsi:
- Beberapa kolom yang terletak di tabel yang berbeda dalam database, klik kanan database Anda, arahkan ke Tugas, lalu pilih Enkripsi Kolom.
- Beberapa kolom yang terletak di tabel yang sama, navigasikan ke tabel, klik kanan, lalu pilih Enkripsi Kolom.
- Kolom individual, navigasikan ke kolom, klik kanan kolom tersebut, lalu pilih Enkripsi Kolom.
Halaman Pilihan Kolom
Di halaman ini, Anda memilih kolom yang ingin Anda enkripsi, enkripsi ulang, atau dekripsi, dan Anda menentukan konfigurasi enkripsi target untuk kolom yang dipilih.
Untuk mengenkripsi kolom teks biasa (kolom yang tidak dienkripsi), pilih jenis enkripsi (Deterministik atau Acak) dan kunci enkripsi untuk kolom.
Untuk mengubah jenis enkripsi atau memutar (mengubah) kunci enkripsi kolom untuk kolom yang sudah dienkripsi, pilih jenis enkripsi dan kunci yang diinginkan.
Jika Anda ingin wizard mengenkripsi atau mengenkripsi ulang satu atau beberapa kolom menggunakan kunci enkripsi kolom baru, pilih kunci yang berisi (Baru) dalam namanya. Wizard akan menghasilkan kunci.
Untuk mendekripsi kolom yang saat ini dienkripsi, pilih Teks biasa untuk jenis enkripsi.
Catatan
Jika Anda ingin menggunakan enkripsi di lokasi dan menggunakan kunci yang ada, pastikan Anda memilih kunci yang diaktifkan enklave – yang dianotasi dengan (enclave-enabled).
Catatan
Wizard tidak mendukung operasi kriptografi pada tabel temporal dan dalam memori. Anda dapat membuat tabel temporal atau dalam memori kosong menggunakan Transact-SQL dan menyisipkan data menggunakan aplikasi Anda.
Halaman Konfigurasi Kunci Master
Jika Anda telah memilih kunci enkripsi kolom yang dibuat secara otomatis untuk kolom apa pun di halaman sebelumnya, di halaman ini Anda perlu memilih kunci master kolom yang ada atau mengonfigurasi kunci master kolom baru yang akan mengenkripsi kunci enkripsi kolom.
Saat mengonfigurasi kunci master kolom baru, Anda dapat memilih kunci yang ada di Penyimpanan Sertifikat Windows atau di Azure Key Vault dan meminta wizard untuk membuat objek metadata saja untuk kunci dalam database, atau Anda dapat memilih untuk menghasilkan kunci dan objek metadata yang menjelaskan kunci dalam database.
Untuk menggunakan enkripsi di tempat, pastikan Anda memilih Izinkan komputasi enklave untuk kunci master kolom baru. Memilih kotak centang ini diperbolehkan hanya jika database Anda dikonfigurasi dengan enklave aman.
Untuk informasi selengkapnya tentang membuat dan menyimpan kunci master kolom di Penyimpanan Sertifikat Windows, Azure Key Vault, atau penyimpanan kunci lainnya, lihat Membuat dan menyimpan kunci master kolom untuk Always Encrypted atau Mengelola kunci untuk Always Encrypted dengan enklave aman.
Petunjuk / Saran
Wizard ini memungkinkan Anda menelusuri dan membuat kunci hanya di Windows Certificate Store dan Azure Key Vault. Ini juga membuat nama kunci baru dan objek metadata database yang menjelaskan kunci secara otomatis. Jika Anda memerlukan kontrol lebih untuk bagaimana kunci Anda disediakan (dan lebih banyak pilihan untuk penyimpanan kunci yang berisi kunci master kolom Anda), Anda dapat menggunakan dialog Kunci Master Kolom Baru dan Kunci Enkripsi Kolom Baru untuk membuat kunci terlebih dahulu, lalu menjalankan wizard dan memilih kunci yang telah Anda buat. Lihat Konfigurasi Kunci Master Kolom dengan Dialog Kunci Master Kolom Baru atau Konfigurasi kunci yang didukung enklave dan Konfigurasi Kunci Enkripsi Kolom dengan Dialog Kunci Enkripsi Kolom Baru.
Halaman Pengaturan Enkripsi Di Tempat
Jika Anda telah mengonfigurasi enklave aman dalam database Dan Anda menggunakan kunci yang diaktifkan enklave, halaman ini memungkinkan Anda menentukan parameter pengesahan enklave, yang diperlukan untuk enkripsi di tempat. Jika Anda tidak ingin menggunakan enkripsi di tempat, batal pilih Gunakan enkripsi di tempat untuk kolom yang memenuhi syarat untuk melanjutkan enkripsi sisi klien. Kami menyarankan Anda untuk membiarkan kotak centang ini diaktifkan sehingga wizard dapat menggunakan enkripsi di tempat.
Untuk informasi selengkapnya tentang pengesahan enklave, lihat Mengonfigurasi pengesahan untuk Always Encrypted menggunakan Azure Attestation
Setelah Enkripsi
Hapus cache rencana untuk semua batch dan prosedur tersimpan yang mengakses tabel untuk menyegarkan informasi enkripsi parameter.
ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;
Catatan
Jika Anda tidak menghapus rencana untuk kueri yang terpengaruh dari cache, eksekusi pertama kueri setelah enkripsi mungkin gagal.
Gunakan ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE atau DBCC FREEPROCCACHE untuk dengan hati-hati menghapus cache rencana, karena dapat mengakibatkan penurunan performa kueri sementara. Untuk meminimalkan dampak negatif dari menghapus cache, Anda dapat menghapus rencana secara selektif hanya untuk kueri yang terpengaruh.
Panggil sp_refresh_parameter_encryption untuk memperbarui metadata untuk parameter setiap modul (prosedur tersimpan, fungsi, tampilan, pemicu) yang dipertahankan dalam sys.parameters dan mungkin telah dibatalkan dengan mengenkripsi kolom.
Konten terkait
- Kolom kueri menggunakan Always Encrypted dengan SQL Server Management Studio
- Menjalankan instruksi Transact-SQL menggunakan enklave aman
- Mengembangkan aplikasi menggunakan Always Encrypted
- Tutorial: Mengembangkan aplikasi .NET menggunakan Always Encrypted dengan enklave aman
- Always Encrypted
- Selalu Terenkripsi dengan enklave yang aman
- Gambaran umum manajemen kunci untuk Always Encrypted
- Mengonfigurasi Always Encrypted menggunakan SQL Server Management Studio
- Mengonfigurasi dan menggunakan Always Encrypted dengan enklave yang aman
- Menyediakan kunci Always Encrypted menggunakan PowerShell
- Memprovisikan kunci yang diaktifkan enklave
- Mengonfigurasi enkripsi kolom menggunakan Always Encrypted dengan PowerShell
- Mengonfigurasi enkripsi kolom di tempat dengan PowerShell
- Mengonfigurasi enkripsi kolom menggunakan Always Encrypted dengan paket DAC
- Mengonfigurasi enkripsi kolom secara langsung dengan paket DAC
- Mengonfigurasi enkripsi kolom di tempat dengan Transact-SQL