Ketentuan kunci Always Encrypted menggunakan SQL Server Management Studio

  • Artikel

Berlaku untuk:SQL ServerAzure SQL DatabaseAzure SQL Managed Instance

Artikel ini menyediakan langkah-langkah untuk menyediakan kunci master kolom dan kunci enkripsi kolom untuk Always Encrypted menggunakan SQL Server Management Studio (SSMS). Pastikan Anda menginstal versi ketersediaan umum terbaru (GA) SSMS saat menyediakan kunci enkripsi.

Untuk gambaran umum manajemen kunci Always Encrypted, termasuk rekomendasi praktik terbaik dan pertimbangan keamanan penting, lihat Gambaran Umum manajemen kunci untuk Always Encrypted.

Memprovisikan Kunci Master Kolom dengan Dialog Kunci Master Kolom Baru

Dialog Kunci Master Kolom Baru memungkinkan Anda membuat kunci master kolom atau memilih kunci yang ada di penyimpanan kunci, dan membuat metadata kunci master kolom untuk kunci yang dibuat atau dipilih dalam database.

  1. Menggunakan Object Explorer, navigasikan ke node Keamanan -> Always Encrypted Keys di bawah database Anda.

  2. Klik kanan pada simpul Kunci Master Kolom dan pilih Kunci Master Kolom Baru....

  3. Dalam dialog Kunci Master Kolom Baru, masukkan nama objek metadata kunci master kolom.

  4. Pilih penyimpanan kunci:

    • Penyimpanan Sertifikat - Pengguna Saat Ini - menunjukkan lokasi penyimpanan sertifikat Pengguna Saat Ini di Penyimpanan Sertifikat Windows, yang merupakan penyimpanan pribadi Anda.

    • Penyimpanan Sertifikat - Komputer lokal - menunjukkan lokasi penyimpanan sertifikat komputer lokal di Penyimpanan Sertifikat Windows.

    • Azure Key Vault - Anda perlu masuk ke Azure (klik Masuk). Setelah masuk, Anda dapat memilih salah satu langganan Azure dan brankas kunci atau HSM terkelola (memerlukan SSMS 18.9 atau yang lebih baru).

      Catatan

      Menggunakan kunci master kolom yang disimpan di HSM terkelola di Azure Key Vault memerlukan SSMS 18.9 atau versi yang lebih baru.

    • Penyedia Penyimpanan Kunci (KSP) - menunjukkan penyimpanan kunci yang dapat diakses melalui penyedia penyimpanan kunci (KSP) yang mengimplementasikan Cryptography Next Generation (CNG) API. Biasanya, jenis penyimpanan ini adalah modul keamanan perangkat keras (HSM). Setelah memilih opsi ini, Anda harus memilih KSP. Penyedia Penyimpanan Kunci Perangkat Lunak Microsoft dipilih secara default. Jika Anda ingin menggunakan kunci master kolom yang disimpan di HSM, pilih KSP untuk perangkat Anda (harus diinstal dan dikonfigurasi di komputer sebelum Anda membuka dialog).

    • Penyedia Layanan Kriptografi (CSP) - penyimpanan kunci yang dapat diakses melalui penyedia layanan kriptografi (CSP) yang mengimplementasikan Cryptography API (CAPI). Biasanya, penyimpanan semacam itu adalah modul keamanan perangkat keras (HSM). Setelah memilih opsi ini, Anda harus memilih CSP. Jika Anda ingin menggunakan kunci master kolom yang disimpan di HSM, pilih CSP untuk perangkat Anda (harus diinstal dan dikonfigurasi di komputer sebelum Anda membuka dialog).

    Catatan

    Karena CAPI adalah API yang tidak digunakan lagi, opsi Penyedia Layanan Kriptografi (CAPI) dinonaktifkan secara default. Anda dapat mengaktifkan dengan membuat nilai DWORD yang Diaktifkan Penyedia CAPI di bawah kunci [HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\sql13\Tools\Client\Always Encrypted] di Windows Registry, dan mengaturnya ke 1. Anda harus menggunakan CNG alih-alih CAPI, kecuali penyimpanan kunci Anda tidak mendukung CNG.

    Untuk informasi selengkapnya tentang penyimpanan kunci di atas, lihat Membuat dan menyimpan kunci master kolom untuk Always Encrypted.

  5. Jika Anda menggunakan SQL Server 2019 (15.x) dan instans SQL Server Anda dikonfigurasi dengan enklave aman, Anda dapat memilih kotak centang Izinkan komputasi enklave untuk membuat kunci master diaktifkan enklave. Lihat Always Encrypted dengan enklave aman untuk detailnya.

    Catatan

    Kotak centang Izinkan komputasi enklave tidak muncul jika instans SQL Server Anda tidak dikonfigurasi dengan benar dengan enklave aman.

  6. Pilih kunci yang ada di penyimpanan kunci Anda, atau klik tombol Hasilkan Kunci atau Hasilkan Sertifikat , untuk membuat kunci di penyimpanan kunci.

  7. Klik OK dan kunci baru muncul dalam daftar.

Setelah Anda menyelesaikan dialog, SQL Server Management Studio membuat metadata untuk kunci master kolom Anda di database. Dialog menghasilkan dan mengeluarkan pernyataan CREATE COLUMN MASTER KEY (Transact-SQL ).

Jika Anda mengonfigurasi kunci master kolom yang diaktifkan enklave, SSMS juga menandatangani metadata menggunakan kunci master kolom.

Izin untuk menyediakan kunci master kolom

Anda memerlukan izin UBAH DATABASE MASTER KEY KOLOM APA PUN dalam database untuk dialog membuat kunci master kolom. Anda juga memerlukan izin penyimpanan kunci untuk mengakses dan menggunakan kunci master kolom kunci Anda. Untuk informasi terperinci tentang izin penyimpanan kunci yang diperlukan untuk operasi manajemen kunci, lihat Membuat dan menyimpan kunci master kolom untuk Always Encrypted dan tinjau bagian yang relevan untuk penyimpanan kunci Anda.

Memprovisikan Kunci Enkripsi Kolom dengan Dialog Kunci Enkripsi Kolom Baru

Dialog Kunci Enkripsi Kolom Baru memungkinkan Anda membuat kunci enkripsi kolom, mengenkripsinya dengan kunci master kolom, dan membuat metadata kunci enkripsi kolom dalam database.

  1. Menggunakan Object Explorer, navigasikan ke folder Kunci Keamanan/Always Encrypted di bawah database Anda.
  2. Klik kanan pada folder Kunci Enkripsi Kolom dan pilih Kunci Enkripsi Kolom Baru....
  3. Dalam dialog Kunci Enkripsi Kolom Baru, masukkan nama objek metadata kunci enkripsi kolom.
  4. Pilih objek metadata yang mewakili kunci master kolom Anda dalam database.
  5. Klik OK.

Setelah Anda menyelesaikan dialog, SQL Server Management Studio (SSMS) menghasilkan kunci enkripsi kolom baru. SSMS kemudian mengambil metadata untuk kunci master kolom yang Anda pilih dari database. SSMS kemudian menggunakan metadata kunci master kolom untuk menghubungi penyimpanan kunci yang berisi kunci master kolom Anda dan mengenkripsi kunci enkripsi kolom. Terakhir, SSMS membuat data metadata untuk enkripsi kolom baru dalam database dengan menghasilkan dan mengeluarkan pernyataan CREATE COLUMN ENCRYPTION KEY (Transact-SQL ).

Catatan

Menggunakan kunci master kolom yang disimpan di HSM terkelola di Azure Key Vault memerlukan SSMS 18.9 atau versi yang lebih baru.

Izin untuk menyediakan kunci enkripsi kolom

Anda memerlukan izin mengubah KUNCI ENKRIPSI KOLOM APA PUN dan MELIHAT izin database DEFINISI KUNCI MASTER KOLOM APA PUN dalam database untuk dialog membuat metadata kunci enkripsi kolom dan untuk mengakses metadata kunci master kolom. Anda juga memerlukan izin penyimpanan kunci untuk mengakses dan menggunakan kunci master kolom Anda. Untuk informasi terperinci tentang izin penyimpanan kunci yang diperlukan untuk operasi manajemen kunci, buka Membuat dan menyimpan kunci master kolom untuk Always Encrypted dan temukan bagian yang relevan untuk penyimpanan kunci Anda.

Menyediakan Kunci Always Encrypted menggunakan Wizard Always Encrypted

Wizard Always Encrypted adalah alat untuk mengenkripsi, mendekripsi, dan mengenkripsi ulang kolom database yang dipilih. Meskipun dapat menggunakan kunci yang sudah dikonfigurasi, itu juga memungkinkan Anda untuk membuat kunci master kolom baru dan enkripsi kolom baru.

Langkah berikutnya

Lihat Juga