Siapkan SQL Server TDE Extensible Key Management dengan menggunakan Azure Key Vault

Berlaku untuk:SQL Server

Dalam artikel ini, Anda menginstal dan mengonfigurasi Koneksi or SQL Server untuk Azure Key Vault.

Catatan

ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).

Extensible Key Management menggunakan Azure Key Vault (AKV) tersedia untuk SQL Server di lingkungan Linux, dimulai dengan Pembaruan Kumulatif SQL Server 2022 (16.x) 12. Ikuti instruksi yang sama, tetapi lewati langkah 3 dan 4.

Prasyarat

Sebelum Anda mulai menggunakan Azure Key Vault dengan instans SQL Server, pastikan Anda telah memenuhi prasyarat berikut:

• Anda harus memiliki langganan Azure yang aktif.

• Instal Azure PowerShell versi 5.2.0 atau yang lebih baru.

• Buat penyewa Microsoft Entra.

• Biasakan diri Anda dengan prinsip penyimpanan Extensible Key Management (EKM) dengan Azure Key Vault dengan meninjau EKM dengan Azure Key Vault (SQL Server).

• Dapat mengubah registri di komputer SQL Server.

• Instal versi Visual Studio C++ Redistributable yang didasarkan pada versi SQL Server yang Anda jalankan:

  Versi SQL Server	Versi Visual Studio C++ Redistributable
  2008, 2008 R2, 2012, 2014	Paket Visual C++ Redistributable untuk Visual Studio 2013
  2016, 2017, 2019, 2022	Visual C++ Dapat Didistribusikan Ulang untuk Visual Studio 2015

• Biasakan diri Anda dengan Mengakses Azure Key Vault di belakang firewall jika Anda berencana menggunakan SQL Server Koneksi or untuk Azure Key Vault di belakang firewall atau dengan server proksi.

Langkah 1: Menyiapkan perwakilan layanan Microsoft Entra

Untuk memberikan izin akses instans SQL Server ke brankas kunci Azure, Anda memerlukan akun perwakilan layanan di ID Microsoft Entra.

1. Masuk ke portal Azure, dan lakukan salah satu hal berikut ini:

   • Pilih tombol ID Microsoft Entra.

     

   • Pilih Layanan lainnya lalu, di panel Semua layanan , ketik ID Microsoft Entra.

2. Daftarkan aplikasi dengan ID Microsoft Entra dengan melakukan hal berikut. Untuk instruksi langkah demi langkah terperinci, lihat bagian Dapatkan identitas untuk aplikasi dari posting blog Azure Key Vault, Azure Key Vault - Langkah demi Langkah.

   1. Pada bagian Kelola sumber daya ID Microsoft Entra Anda, pilih Pendaftaran aplikasi.

      

   2. Pada halaman Pendaftaran aplikasi , pilih Pendaftaran baru.

      

   3. Pada panel Daftarkan aplikasi, masukkan nama yang menghadap pengguna untuk aplikasi, lalu pilih Daftar.

      

   4. Di panel kiri, pilih Sertifikat & rahasia > Rahasia klien >Baru.

      

   5. Di bawah Tambahkan rahasia klien, masukkan deskripsi dan kedaluwarsa yang sesuai, lalu pilih Tambahkan. Anda tidak dapat memilih periode kedaluwarsa yang lebih besar dari 24 bulan. Untuk informasi selengkapnya, lihat Menambahkan rahasia klien.

      

   6. Pada panel Sertifikat & rahasia, di bawah Nilai, pilih tombol Salin di samping nilai rahasia klien yang akan digunakan untuk membuat kunci asimetris di SQL Server.

      

   7. Di panel kiri, pilih Gambaran Umum lalu, dalam kotak ID Aplikasi (klien), salin nilai yang akan digunakan untuk membuat kunci asimetris di SQL Server.

      

Langkah 2: Membuat brankas kunci

Pilih metode yang ingin Anda gunakan untuk membuat brankas kunci.

Portal Azure

Membuat brankas kunci dengan menggunakan portal Microsoft Azure

Anda dapat menggunakan portal Azure untuk membuat brankas kunci lalu menambahkan perwakilan Microsoft Entra ke dalamnya.

1. Buat grup sumber daya.

   Semua sumber daya Azure yang Anda buat melalui portal Azure harus terkandung dalam grup sumber daya, yang Anda buat untuk menampung brankas kunci Anda. Nama sumber daya dalam contoh ini adalah DocsSampleRG. Pilih grup sumber daya dan nama brankas kunci Anda sendiri, karena semua nama brankas kunci harus unik secara global.

   Pada panel Buat grup sumber daya, di bawah Detail proyek, masukkan nilai, lalu pilih Tinjau + buat.

   

2. Di portal Azure, cari atau pilih layanan Brankas kunci untuk membuat brankas kunci. Pilih Buat.

   Pada panel Buat brankas kunci, pilih tab Dasar , masukkan nilai yang sesuai untuk tab . Sebaiknya aktifkan perlindungan penghapusan menyeluruh.

   

3. Pada tab Konfigurasi akses , Anda memiliki opsi untuk memilih kontrol akses berbasis peran Azure atau kebijakan akses Vault. Kami membahas kedua opsi, tetapi opsi kontrol akses berbasis peran Azure disarankan. Untuk informasi selengkapnya, lihat Gambaran umum model akses.

   

4. Pilih Tinjau + buat dan buat brankas kunci.

Kontrol akses berbasis peran Azure

Metode yang disarankan adalah menggunakan kontrol akses berbasis peran Azure (RBAC) untuk menetapkan izin ke brankas kunci. Metode ini memungkinkan Anda menetapkan izin kepada pengguna, grup, dan aplikasi pada tingkat yang lebih terperinci. Anda dapat menetapkan izin ke brankas kunci di bidang manajemen (penetapan peran Azure), dan di bidang data (kebijakan akses brankas kunci). Jika Anda hanya dapat menggunakan kebijakan akses, Anda dapat melewati bagian ini dan masuk ke bagian Kebijakan akses vault. Untuk informasi selengkapnya tentang izin RBAC Azure Key Vault, lihat Peran bawaan Azure untuk operasi sarana data Key Vault.

1. Buka sumber daya brankas kunci yang Anda buat, dan pilih pengaturan Kontrol akses (IAM).

2. Pilih Tambahkan Tambahkan>penetapan peran.

   

3. Aplikasi EKM memerlukan peran Pengguna Enkripsi Layanan Kripto Key Vault untuk melakukan operasi pembungkusan dan pembungkusan. Cari Pengguna Enkripsi Layanan Kripto Key Vault dan pilih perannya. Pilih Selanjutnya.

   

4. Di tab Anggota , pilih opsi Pilih anggota , lalu cari aplikasi Microsoft Entra yang Anda buat di Langkah 1. Pilih aplikasi lalu tombol Pilih .

   

5. Pilih Tinjau + tetapkan dua kali untuk menyelesaikan penetapan peran.

6. Pengguna yang membuat kunci memerlukan peran Administrator Key Vault. Cari Administrator Key Vault dan pilih perannya. Pilih Selanjutnya.

7. Sama seperti langkah-langkah sebelumnya, tambahkan anggota yang membuat kunci dan tetapkan peran.

Kebijakan akses Vault

Catatan

Jika Anda menggunakan opsi kontrol akses berbasis peran Azure, Anda dapat melewati bagian ini. Jika Anda mengubah model izin, Anda dapat melakukannya dengan masuk ke menu Konfigurasi akses dari brankas kunci. Pastikan Anda memiliki izin yang benar untuk mengelola brankas kunci. Untuk informasi lebih lanjut, lihat Mengaktifkan izin Azure RBAC di Key Vault.

1. Dari tab Konfigurasi akses , pilih Kebijakan akses vault. Jika Anda menggunakan Brankas kunci yang ada, Anda dapat memilih menu Kebijakan akses dari sumber daya Brankas kunci, dan pilih Buat.

2. Pada panel Buat kebijakan akses, pilih Dapatkan dan Cantumkanizin dari opsi Operasi Manajemen Kunci. Pilih Buka Bungkus izin Kunci dan Bungkus Kunci dari opsi Operasi Kriptografi. Pilih Selanjutnya

   

3. Pada tab Utama , pilih aplikasi yang dibuat di Langkah 1.

   

4. Pilih Berikutnya lalu Buat.

Membuat kunci

1. Pada panel Key Vault , pilih Kunci lalu pilih opsi Buat/Impor. Ini membuka panel Buat kunci . Masukkan nama brankas kunci. Pilih opsi Hasilkan, dan masukkan nama untuk kunci. Koneksi or SQL Server memerlukan nama kunci untuk hanya menggunakan karakter "a-z", "A-Z", "0-9", dan "-", dengan batas 26 karakter.

2. Gunakan jenis kunci RSA dan ukuran kunci RSA sebagai 2048. EKM saat ini hanya mendukung kunci RSA. Atur tanggal aktivasi dan kedaluwarsa yang sesuai dan atur Diaktifkan sebagai Ya.

   

Praktik terbaik

Untuk memastikan pemulihan kunci cepat dan dapat mengakses data Anda di luar Azure, kami merekomendasikan praktik terbaik berikut:

• Buat kunci enkripsi Anda secara lokal pada perangkat modul keamanan perangkat keras (HSM) lokal. Pastikan untuk menggunakan kunci RSA 2048 atau 3072 asimetris sehingga didukung oleh SQL Server.

• Impor kunci enkripsi ke brankas kunci Azure Anda. Proses ini dijelaskan di bagian berikutnya.

• Sebelum Anda menggunakan kunci di brankas kunci Azure untuk pertama kalinya, lakukan pencadangan kunci brankas kunci Azure menggunakan Backup-AzureKeyVaultKey cmdlet PowerShell.

• Setiap kali Anda membuat perubahan pada kunci (misalnya, menambahkan ACL, tag, atau atribut kunci), pastikan untuk melakukan pencadangan kunci azure key vault lainnya.

  Catatan

  Mencadangkan kunci adalah operasi kunci Azure Key Vault yang mengembalikan file yang dapat disimpan di mana saja.

  Menggunakan Koneksi or SQL Server untuk Azure Key Vault di belakang firewall atau server proksi dapat memengaruhi performa jika lalu lintas tertunda atau diblokir. Biasakan diri Anda dengan Mengakses Azure Key Vault di belakang firewall untuk memastikan aturan yang benar ada.

PowerShell

Membuat brankas kunci dan kunci dengan menggunakan PowerShell

Brankas kunci dan kunci yang Anda buat di sini digunakan oleh SQL Server Database Engine untuk perlindungan kunci enkripsi.

Penting

Langganan tempat brankas kunci dibuat harus berada di penyewa Microsoft Entra default yang sama tempat perwakilan layanan Microsoft Entra dibuat. Jika Anda ingin menggunakan penyewa Microsoft Entra selain penyewa default Anda untuk membuat perwakilan layanan untuk Koneksi or SQL Server, Anda harus mengubah penyewa Microsoft Entra default di akun Azure Anda sebelum membuat brankas kunci. Untuk mempelajari cara mengubah penyewa Microsoft Entra default menjadi penyewa yang ingin Anda gunakan, lihat bagian "Pertanyaan yang sering diajukan" dari pemeliharaan &pemecahan masalah SQL Server Koneksi or.

1. Instal dan masuk ke Azure PowerShell 5.2.0 atau yang lebih baru dengan menggunakan perintah berikut:

   Connect-AzAccount
   

   Pernyataan mengembalikan:

   Environment           : AzureCloud
   Account               : <account_name>
   TenantId              : <tenant_id>
   SubscriptionId        : <subscription_id>
   CurrentStorageAccount :
   

   Catatan

   Jika Anda memiliki beberapa langganan dan ingin menentukan satu langganan yang akan digunakan untuk vault, jalankan Get-AzSubscription untuk melihat langganan dan Select-AzSubscription memilih langganan yang benar. Jika tidak, PowerShell akan memilih satu untuk Anda secara default.

2. Buat grup sumber daya.

   Semua sumber daya Azure yang Anda buat melalui PowerShell harus terkandung dalam grup sumber daya, yang Anda buat untuk menampung brankas kunci Anda. Nama sumber daya dalam contoh ini adalah DocsSampleRG. Pilih grup sumber daya dan nama brankas kunci Anda sendiri, karena semua nama brankas kunci harus unik secara global.

   New-AzResourceGroup -Name DocsSampleRG -Location 'East US'
   

   Pernyataan mengembalikan:

   ResourceGroupName: DocsSampleRG
   Location         : eastus
   ProvisioningState: Succeeded
   Tags             :
   ResourceId       : /subscriptions/<subscription_id>/
                       resourceGroups/DocsSampleRG
   

   Catatan

   -Location Untuk parameter , gunakan perintah Get-AzureLocation untuk mengidentifikasi cara menentukan lokasi selain lokasi dalam contoh ini. Jika Anda memerlukan informasi selengkapnya, ketik Get-Help Get-AzureLocation.

3. Membuat brankas kunci.

   New-AzKeyVault Cmdlet memerlukan nama grup sumber daya, nama brankas kunci, dan lokasi geografis. Misalnya, untuk brankas kunci bernama DocsSampleEKMKeyVault, jalankan:

   New-AzKeyVault -VaultName 'DocsSampleEKMKeyVault' `
      -ResourceGroupName 'DocsSampleRG' -Location 'East US'
   

   Catat nama brankas kunci Anda.

   Pernyataan mengembalikan:

   Vault Name                       : DocsSampleEKMKeyVault
   Resource Group Name              : DocsSampleRG
   Location                         : East US
   ResourceId                       : /subscriptions/<subscription_id>/
                                       resourceGroups/DocsSampleRG/providers/
                                       Microsoft/KeyVault/vaults/DocsSampleEKMKeyVault
   Vault URI: https://DocsSampleEKMKeyVault.vault.azure.net
   Tenant ID                        : <tenant_id>
   SKU                              : Standard
   Enabled For Deployment?          : False
   Enabled For Template Deployment? : False
   Enabled For Disk Encryption?     : False
   Access Policies                  :
             Tenant ID              : <tenant_id>
             Object ID              : <object_id>
             Application ID         :
             Display Name           : <display_name>
             Permissions to Keys    : get, create, delete, list, update, import,
                                      backup, restore
             Permissions to Secrets : all
   Tags                             :
   

4. Berikan izin bagi perwakilan layanan Microsoft Entra untuk mengakses brankas kunci Azure.

   Anda dapat mengotorisasi pengguna dan aplikasi lain untuk menggunakan brankas kunci Anda. Misalnya, mari kita gunakan perwakilan layanan yang Anda buat di Langkah 1: Siapkan perwakilan layanan Microsoft Entra untuk mengotorisasi instans SQL Server.

   Penting

   Perwakilan layanan Microsoft Entra harus memiliki setidaknya izin dapatkan, daftar, wrapKey, dan unwrapKey untuk brankas kunci.

   Seperti yang ditunjukkan dalam perintah berikut, Anda menggunakan ID Aplikasi (Klien) dari Langkah 1: Siapkan perwakilan layanan Microsoft Entra untuk ServicePrincipalName parameter . Set-AzKeyVaultAccessPolicy berjalan diam-diam tanpa output jika berhasil berjalan.

   Set-AzKeyVaultAccessPolicy -VaultName 'DocsSampleEKMKeyVault' `
     -ServicePrincipalName 9A57CBC5-4C4C-40E2-B517-EA677 `
     -PermissionsToKeys get, list, wrapKey, unwrapKey
   

   Get-AzKeyVault Hubungi cmdlet untuk mengonfirmasi izin. Dalam output pernyataan di bawah Access Policies, Anda akan melihat nama aplikasi Microsoft Entra Anda terdaftar sebagai penyewa lain yang memiliki akses ke brankas kunci ini.

5. Buat kunci asimetris di brankas kunci. Anda dapat melakukannya dengan salah satu dari dua cara: mengimpor kunci yang ada atau membuat kunci baru.

   Catatan

   SQL Server hanya mendukung kunci RSA 2048-bit & 3072-bit dan kunci RSA-HSM 2048-bit & 3072-bit.

Praktik terbaik

Untuk memastikan pemulihan kunci cepat dan dapat mengakses data Anda di luar Azure, kami merekomendasikan praktik terbaik berikut:

• Buat kunci enkripsi Anda secara lokal pada perangkat modul keamanan perangkat keras (HSM) lokal. Pastikan untuk menggunakan kunci RSA 2048 atau 3072 asimetris sehingga didukung oleh SQL Server.

• Impor kunci enkripsi ke Azure Key Vault Anda. Proses ini dijelaskan di bagian berikutnya.

• Sebelum Anda menggunakan kunci di Azure Key Vault untuk pertama kalinya, lakukan pencadangan kunci Azure Key Vault menggunakan Backup-AzureKeyVaultKey cmdlet PowerShell.

• Setiap kali Anda membuat perubahan pada kunci (misalnya, menambahkan ACL, tag, atau atribut kunci), pastikan untuk melakukan pencadangan kunci Azure Key Vault lainnya.

  Catatan

  Mencadangkan kunci adalah operasi kunci Azure Key Vault yang mengembalikan file yang dapat disimpan di mana saja.

Jenis kunci

Anda dapat menghasilkan empat jenis kunci di Azure Key Vault yang akan berfungsi dengan SQL Server. Kunci RSA asimetris 2048-bit & 3072-bit dan kunci RSA-HSM 2048-bit & 3072-bit.

• Dilindungi perangkat lunak: Diproses dalam perangkat lunak dan dienkripsi saat tidak aktif. Operasi pada kunci yang dilindungi perangkat lunak terjadi pada komputer virtual Azure. Kami merekomendasikan jenis ini untuk kunci yang tidak digunakan dalam penyebaran produksi.

• Dilindungi HSM: Dibuat dan dilindungi oleh modul keamanan perangkat keras untuk keamanan tambahan. Biayanya sekitar USD 1 per versi kunci.

  Penting

  Untuk Koneksi or SQL Server, gunakan hanya karakter a-z, A-Z, 0-9, dan tanda hubung (-), dengan batas 26 karakter. Versi kunci yang berbeda dengan nama kunci yang sama di Azure Key Vault tidak berfungsi dengan Koneksi or SQL Server. Untuk memutar kunci Azure Key Vault yang sedang digunakan oleh SQL Server, lihat langkah-langkah Rollover Kunci di "A. Petunjuk Pemeliharaan untuk SQL Server Koneksi or" bagian dari SQL Server Koneksi atur Pemeliharaan &Pemecahan Masalah.

  Saat memutar versi kunci, jangan nonaktifkan versi yang awalnya digunakan untuk mengenkripsi database. SQL Server tidak akan dapat memulihkan database (akan berada dalam status 'pemulihan tertunda') dan dapat menghasilkan cadangan memori 'Pengecualian Kripto' hingga versi lama diaktifkan.

Mengimpor kunci yang sudah ada

Jika Anda memiliki kunci yang dilindungi perangkat lunak RSA 2048-bit yang sudah ada, Anda dapat mengunggah kunci ke Azure Key Vault Anda. Misalnya, jika Anda memiliki file PFX yang disimpan ke drive Anda C:\ dalam file bernama softkey.pfx yang ingin Anda unggah ke Azure Key Vault, jalankan perintah berikut untuk mengatur variabel securepfxpwd untuk kata sandi 12987553 untuk file PFX:

$securepfxpwd = ConvertTo-SecureString -String '12987553' `
  -AsPlainText -Force

Kemudian Anda dapat menjalankan perintah berikut untuk mengimpor kunci dari file PFX, yang melindungi kunci berdasarkan perangkat keras (disarankan) di layanan Key Vault:

    Add-AzureKeyVaultKey -VaultName 'DocsSampleEKMKeyVault' `
      -Name 'DocsFirstKey' -KeyFilePath 'C:\softkey.pfx' `
      -KeyFilePassword $securepfxpwd $securepfxpwd  -Destination 'HSM'

Perhatian

Kami sangat menyarankan untuk mengimpor kunci asimetris untuk skenario produksi, karena melakukannya memungkinkan administrator untuk mengekstrak kunci dalam sistem escrow utama. Jika kunci asimetris dibuat di brankas, kunci tersebut tidak dapat diekstraksi, karena kunci privat tidak pernah dapat meninggalkan vault. Kunci yang digunakan untuk melindungi data penting harus diekskrowing. Hilangnya kunci asimetris akan mengakibatkan hilangnya data permanen.

Membuat kunci baru

Atau, Anda dapat membuat kunci enkripsi baru langsung di Azure Key Vault dan membuatnya dilindungi perangkat lunak atau dilindungi HSM. Dalam contoh ini, mari kita buat kunci yang dilindungi perangkat lunak dengan menggunakan Add-AzureKeyVaultKey cmdlet:

Add-AzureKeyVaultKey -VaultName 'DocsSampleEKMKeyVault' `
  -Name 'ContosoRSAKey0' -Destination 'Software'

Pernyataan mengembalikan:

Attributes : Microsoft.Azure.Commands.KeyVault.Models.KeyAttributes
Key        :  {"kid":"https:DocsSampleEKMKeyVault.azure.net/keys/
                ContosoRSAKey0/<guid>","dty":"RSA:,"key_ops": ...
VaultName  : contosodevkeyvault
Name       : contosoRSAKey0
Version    : <guid>
Id         : https://DocsSampleEKMKeyVault.vault.azure.net:443/
              keys/ContosoRSAKey0/<guid>

Penting

Brankas kunci mendukung beberapa versi kunci bernama yang sama, tetapi kunci yang akan digunakan oleh Koneksi or SQL Server tidak boleh diberi versi atau digulung. Jika administrator ingin menggulung kunci yang digunakan untuk enkripsi SQL Server, kunci baru dengan nama yang berbeda harus dibuat di brankas kunci dan digunakan untuk mengenkripsi DEK.

Langkah 3: Instal Koneksi or SQL Server

Unduh Koneksi SQL Server dari Pusat Unduhan Microsoft. Unduhan harus dilakukan oleh administrator komputer SQL Server.

Catatan

• SQL Server Koneksi or versi 1.0.0.440 dan yang lebih lama telah diganti dan tidak lagi didukung di lingkungan produksi dan menggunakan instruksi pada halaman Pemeliharaan & Pemecahan Masalah SQL Server Koneksi or di bawah Peningkatan Koneksi or SQL Server.
• Dimulai dengan versi 1.0.3.0, Koneksi or SQL Server melaporkan pesan kesalahan yang relevan ke log peristiwa Windows untuk pemecahan masalah.
• Dimulai dengan versi 1.0.4.0, ada dukungan untuk cloud Azure privat, termasuk Azure yang dioperasikan oleh 21Vianet, Azure Jerman, dan Azure Government.
• Ada perubahan yang melanggar dalam versi 1.0.5.0 dalam hal algoritma thumbprint. Anda mungkin mengalami kegagalan pemulihan database setelah meningkatkan ke 1.0.5.0. Untuk informasi selengkapnya, lihat artikel KB 447099.
• Dimulai dengan versi 1.0.5.0 (TimeStamp: September 2020), Koneksi or SQL Server mendukung pemfilteran pesan dan logika coba lagi permintaan jaringan.
• Dimulai dengan versi yang diperbarui 1.0.5.0 (TimeStamp: November 2020), Koneksi or SQL Server mendukung kunci RSA 2048, RSA 3072, RSA-HSM 2048 dan RSA-HSM 3072.
• Dimulai dengan versi 1.0.5.0 yang diperbarui (TimeStamp: November 2020), Anda dapat merujuk ke versi kunci tertentu di Azure Key Vault.

Secara default, Koneksi or diinstal di C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault. Lokasi ini dapat diubah selama penyiapan. Jika Anda mengubahnya, sesuaikan skrip di bagian berikutnya.

Tidak ada antarmuka untuk Koneksi or, tetapi jika berhasil diinstal, Microsoft.AzureKeyVaultService.EKM.dll diinstal pada komputer. Rakitan ini adalah DLL penyedia EKM kriptografi yang perlu didaftarkan ke SQL Server dengan menggunakan CREATE CRYPTOGRAPHIC PROVIDER pernyataan .

Penginstalan Koneksi or SQL Server juga memungkinkan Anda mengunduh sampel skrip secara opsional untuk enkripsi SQL Server.

Untuk melihat penjelasan kode kesalahan, pengaturan konfigurasi, atau tugas pemeliharaan untuk Koneksi or SQL Server, lihat:

• J. Instruksi Pemeliharaan untuk Koneksi or SQL Server
• C. Penjelasan Kode Kesalahan untuk Koneksi or SQL Server

Langkah 4: Tambahkan kunci registri untuk mendukung penyedia EKM

Peringatan

Memodifikasi registri harus dilakukan oleh pengguna yang tahu persis apa yang mereka lakukan. Masalah serius dapat terjadi jika Anda mengubah registri dengan salah. Untuk perlindungan tambahan, cadangkan registri sebelum Anda mengubahnya. Anda dapat memulihkan registri jika terjadi masalah.

1. Pastikan bahwa SQL Server diinstal dan berjalan.

2. Jalankan regedit untuk membuka Editor Registri.

3. Buat SQL Server Cryptographic Provider kunci registri di HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft. Jalur lengkapnya adalah HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Provider.

4. Klik kanan kunci SQL Server Cryptographic Provider registri, lalu pilih Izin.

5. Berikan izin Kontrol Penuh pada SQL Server Cryptographic Provider kunci registri ke akun pengguna yang menjalankan layanan SQL Server.

   

6. Pilih Terapkan lalu pilih OK.

7. Tutup Editor Registri dan mulai ulang layanan SQL Server.

   Catatan

   Jika Anda menggunakan TDE dengan EKM atau Azure Key Vault pada instans kluster failover, Anda harus menyelesaikan langkah tambahan untuk menambahkan HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Provider ke rutinitas Titik Pemeriksaan Registri Kluster, sehingga registri dapat disinkronkan di seluruh simpul. Sinkronisasi memfasilitasi pemulihan database setelah failover dan rotasi kunci.

   Untuk menambahkan kunci registri ke rutinitas Titik Pemeriksaan Registri Kluster, di PowerShell, jalankan perintah berikut:

   Add-ClusterCheckpoint -RegistryCheckpoint "SOFTWARE\Microsoft\SQL Server Cryptographic Provider" -Resourcename "SQL Server"

Langkah 5: Mengonfigurasi SQL Server

Untuk catatan tentang tingkat izin minimum yang diperlukan untuk setiap tindakan di bagian ini, lihat B. Tanya Jawab Umum.

master Mengonfigurasi database

1. Jalankan sqlcmd atau buka SQL Server Management Studio.

2. Konfigurasikan SQL Server untuk menggunakan EKM dengan menjalankan skrip Transact-SQL berikut:

   -- Enable advanced options.
   USE master;
   GO
   
   EXEC sp_configure 'show advanced options', 1;
   GO
   RECONFIGURE;
   GO
   
   -- Enable EKM provider
   EXEC sp_configure 'EKM provider enabled', 1;
   GO
   RECONFIGURE;
   

3. Daftarkan Koneksi or SQL Server sebagai penyedia EKM dengan SQL Server.

   Buat penyedia kriptografi dengan menggunakan Koneksi or SQL Server, yang merupakan penyedia EKM untuk Azure Key Vault. Dalam contoh ini, nama penyedia adalah AzureKeyVault_EKM.

   CREATE CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM
   FROM FILE = 'C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault\Microsoft.AzureKeyVaultService.EKM.dll';
   GO
   

   Catatan

   Panjang jalur file tidak boleh melebihi 256 karakter.

4. Siapkan kredensial SQL Server untuk login SQL Server untuk menggunakan brankas kunci.

   Kredensial harus ditambahkan ke setiap login yang akan melakukan enkripsi dengan menggunakan kunci dari brankas kunci. Ini dapat meliputi:

   • Login administrator SQL Server yang menggunakan brankas kunci untuk menyiapkan dan mengelola skenario enkripsi SQL Server.

   • Login SQL Server lainnya yang mungkin mengaktifkan TDE atau fitur enkripsi SQL Server lainnya.

   Ada pemetaan satu-ke-satu antara kredensial dan login. Artinya, setiap login harus memiliki kredensial yang unik.

   Ubah skrip Transact-SQL ini dengan cara berikut:

   • IDENTITY Edit argumen (DocsSampleEKMKeyVault) untuk menunjuk ke Azure Key Vault Anda.

     • Jika Anda menggunakan Azure global, ganti IDENTITY argumen dengan nama Azure Key Vault Anda dari Langkah 2: Buat brankas kunci.
     • Jika Anda menggunakan cloud Azure privat (misalnya, Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet, atau Azure Jerman), ganti IDENTITY argumen dengan URI Vault yang dikembalikan di langkah 3 dari bagian Buat brankas kunci dan kunci dengan menggunakan PowerShell. Jangan sertakan https:// dalam URI brankas kunci.

   • Ganti bagian pertama argumen SECRET dengan ID Klien Microsoft Entra dari Langkah 1: Siapkan perwakilan layanan Microsoft Entra. Dalam contoh ini, ID Klien adalah d956f6b9xxxxxxx.

     Penting

     Pastikan untuk menghapus tanda hubung dari ID Aplikasi (Klien).

   • Selesaikan bagian kedua argumen SECRET dengan Rahasia Klien dari Langkah 1: Siapkan perwakilan layanan Microsoft Entra. Dalam contoh ini, Rahasia Klien adalah yrA8X~PldtMCvUZPxxxxxxxx. String akhir untuk SECRET argumen akan menjadi urutan huruf dan angka yang panjang, tanpa tanda hubung (kecuali untuk bagian Rahasia Klien, jika Rahasia Klien berisi tanda hubung).

     USE master;
     CREATE CREDENTIAL sysadmin_ekm_cred
         WITH IDENTITY = 'DocsSampleEKMKeyVault',                            -- for public Azure
         -- WITH IDENTITY = 'DocsSampleEKMKeyVault.vault.usgovcloudapi.net', -- for Azure Government
         -- WITH IDENTITY = 'DocsSampleEKMKeyVault.vault.azure.cn',          -- for Microsoft Azure operated by 21Vianet
         -- WITH IDENTITY = 'DocsSampleEKMKeyVault.vault.microsoftazure.de', -- for Azure Germany
                --<----Application (Client) ID ---><--Microsoft Entra app (Client) ID secret-->
         SECRET = 'd956f6b9xxxxxxxyrA8X~PldtMCvUZPxxxxxxxx'
     FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;
     
     -- Add the credential to the SQL Server administrator's domain login
     ALTER LOGIN [<domain>\<login>]
     ADD CREDENTIAL sysadmin_ekm_cred;
     

   Untuk contoh penggunaan variabel untuk CREATE CREDENTIAL argumen dan menghapus tanda hubung secara terprogram dari ID Klien, lihat MEMBUAT KREDENSIAL (Transact-SQL).

5. Buka kunci Azure Key Vault Anda di instans SQL Server Anda.

   Apakah Anda membuat kunci baru atau mengimpor kunci asimetris, seperti yang dijelaskan di Langkah 2: Membuat brankas kunci, Anda perlu membuka kunci. Buka dengan memberikan nama kunci Anda dalam skrip Transact-SQL berikut.

   Penting

   Pastikan untuk terlebih dahulu menyelesaikan prasyarat Registri untuk langkah ini.

   • Ganti EKMSampleASYKey dengan nama yang Anda inginkan untuk dimiliki kunci di SQL Server.
   • Ganti ContosoRSAKey0 dengan nama kunci Anda di Azure Key Vault Anda. Di bawah ini adalah contoh kunci tanpa versi.

   CREATE ASYMMETRIC KEY EKMSampleASYKey
   FROM PROVIDER [AzureKeyVault_EKM]
   WITH PROVIDER_KEY_NAME = 'ContosoRSAKey0',
   CREATION_DISPOSITION = OPEN_EXISTING;
   

   Dimulai dengan konektor SQL Server versi 1.0.5.0 yang diperbarui, Anda dapat merujuk ke versi kunci tertentu di Azure Key Vault:

   CREATE ASYMMETRIC KEY EKMSampleASYKey
   FROM PROVIDER [AzureKeyVault_EKM]
   WITH PROVIDER_KEY_NAME = 'ContosoRSAKey0/1a4d3b9b393c4678831ccc60def75379',
   CREATION_DISPOSITION = OPEN_EXISTING;
   

   Dalam contoh skrip sebelumnya, 1a4d3b9b393c4678831ccc60def75379 mewakili versi kunci tertentu yang akan digunakan. Jika Anda menggunakan skrip ini, tidak masalah jika Anda memperbarui kunci dengan versi baru. Versi kunci (misalnya) 1a4d3b9b393c4678831ccc60def75379 akan selalu digunakan untuk operasi database.

6. Buat login baru dengan menggunakan kunci asimetris di SQL Server yang Anda buat di langkah sebelumnya.

   --Create a Login that will associate the asymmetric key to this login
   CREATE LOGIN TDE_Login
   FROM ASYMMETRIC KEY EKMSampleASYKey;
   

7. Buat login baru dari kunci asimetris di SQL Server. Hilangkan pemetaan kredensial dari Langkah 5: Konfigurasikan SQL Server sehingga kredensial dapat dipetakan ke login baru.

   --Now drop the credential mapping from the original association
   ALTER LOGIN [<domain>\<login>]
   DROP CREDENTIAL sysadmin_ekm_cred;
   

8. Ubah login baru, dan petakan kredensial EKM ke login baru.

   --Now add the credential mapping to the new Login
   ALTER LOGIN TDE_Login
   ADD CREDENTIAL sysadmin_ekm_cred;
   

Mengonfigurasi database pengguna untuk dienkripsi

1. Buat database pengujian yang akan dienkripsi dengan kunci Azure Key Vault.

   --Create a test database that will be encrypted with the Azure Key Vault key
   CREATE DATABASE TestTDE;
   

2. Buat kunci enkripsi database dengan menggunakan ASYMMETRIC KEY (EKMSampleASYKey).

   USE <DB Name>;
   --Create an ENCRYPTION KEY using the ASYMMETRIC KEY (EKMSampleASYKey)
   CREATE DATABASE ENCRYPTION KEY
   WITH ALGORITHM = AES_256
   ENCRYPTION BY SERVER ASYMMETRIC KEY EKMSampleASYKey;
   

3. Mengenkripsi database pengujian. Aktifkan TDE dengan mengatur ENCRYPTION ON.

   --Enable TDE by setting ENCRYPTION ON
   ALTER DATABASE TestTDE
   SET ENCRYPTION ON;
   

Detail registri

1. Jalankan kueri Transact-SQL berikut dalam master database untuk memperlihatkan kunci asimetris yang digunakan.

   SELECT name, algorithm_desc, thumbprint FROM sys.asymmetric_keys;
   

   Pernyataan mengembalikan:

   name            algorithm_desc    thumbprint
   EKMSampleASYKey RSA_2048          <key thumbprint>
   

2. Dalam database pengguna (TestTDE), jalankan kueri Transact-SQL berikut ini untuk memperlihatkan kunci enkripsi yang digunakan.

   SELECT encryptor_type, encryption_state_desc, encryptor_thumbprint 
   FROM sys.dm_database_encryption_keys
   WHERE database_id = DB_ID('TestTDE');
   

   Pernyataan mengembalikan:

   encryptor_type encryption_state_desc encryptor_thumbprint
   ASYMMETRIC KEY ENCRYPTED             <key thumbprint>
   

Penghapusan

1. Bersihkan objek pengujian. Hapus semua objek yang dibuat dalam skrip pengujian ini.

   -- CLEAN UP
   USE master;
   GO
   ALTER DATABASE [TestTDE] SET SINGLE_USER WITH ROLLBACK IMMEDIATE;
   DROP DATABASE [TestTDE];
   GO
   
   ALTER LOGIN [TDE_Login] DROP CREDENTIAL [sysadmin_ekm_cred];
   DROP LOGIN [TDE_Login];
   GO
   
   DROP CREDENTIAL [sysadmin_ekm_cred];
   GO
   
   USE master;
   GO
   DROP ASYMMETRIC KEY [EKMSampleASYKey];
   DROP CRYPTOGRAPHIC PROVIDER [AzureKeyVault_EKM];
   GO
   

   Untuk contoh skrip, lihat blog di Enkripsi Data Transparan SQL Server dan Extensible Key Management dengan Azure Key Vault.

2. Kunci SQL Server Cryptographic Provider registri tidak dibersihkan secara otomatis setelah kunci atau semua kunci EKM dihapus. Ini harus dibersihkan secara manual. Membersihkan kunci registri harus dilakukan dengan sangat hati-hati, karena membersihkan registri sebelum waktunya dapat merusak fungsionalitas EKM. Untuk membersihkan kunci registri, hapus SQL Server Cryptographic Provider kunci registri pada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.

Pemecahan Masalah

Jika kunci HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Provider registri tidak dibuat atau izin yang diperlukan tidak diberikan, pernyataan DDL berikut akan gagal:

CREATE ASYMMETRIC KEY EKMSampleASYKey
FROM PROVIDER [AzureKeyVault_EKM]
WITH PROVIDER_KEY_NAME = 'ContosoRSAKey0',
CREATION_DISPOSITION = OPEN_EXISTING;

Msg 33049, Level 16, State 2, Line 65
Key with name 'ContosoRSAKey0' does not exist in the provider or access is denied. Provider error code: 2058.  (Provider Error - No explanation is available, consult EKM Provider for details)

Rahasia klien yang akan kedaluwarsa

Jika kredensial memiliki rahasia klien yang akan kedaluwarsa, rahasia baru dapat ditetapkan ke kredensial.

1. Perbarui rahasia yang awalnya dibuat di Langkah 1: Siapkan perwakilan layanan Microsoft Entra.

2. Ubah kredensial menggunakan identitas yang sama dan rahasia baru menggunakan kode berikut. Ganti <New Secret> dengan rahasia baru Anda:

   ALTER CREDENTIAL sysadmin_ekm_cred
   WITH IDENTITY = 'DocsSampleEKMKeyVault',
   SECRET = '<New Secret>';
   

3. Mulai ulang layanan SQL Server.

Catatan

Jika Anda menggunakan EKM dalam grup ketersediaan (AG), Anda harus mengubah kredensial dan memulai ulang layanan SQL Server pada semua simpul AG.

Putar kunci asimetris dengan kunci AKV baru atau versi kunci AKV baru

Catatan

• Saat memutar kunci AKV secara manual, SQL Server mendukung kunci tanpa versi AKV atau kunci versi dan tidak perlu menggunakan kunci AKV yang berbeda.
• Kunci AKV asli dapat diputar membuat versi baru yang dapat menggantikan kunci sebelumnya yang dibuat di SQL Server.
• Untuk rotasi kunci manual, kunci asimetris SQL Server baru harus dibuat mengacu pada kunci tanpa versi atau kunci versi yang diputar di AKV. Untuk kunci asimetris SQL Server baru, kunci AKV tanpa versi akan secara otomatis dipilih menggunakan versi kunci tertinggi di AKV. Untuk kunci versi, Anda harus menunjukkan versi tertinggi di AKV menggunakan sintaks WITH PROVIDER_KEY_NAME = <key_name>/<version>. Anda dapat mengubah kunci enkripsi database untuk mengenkripsi ulang dengan kunci asimetris baru. Nama kunci yang sama (versi atau tanpa versi) dapat digunakan dengan kebijakan rotasi AKV. Untuk kunci versi, versi saat ini harus ditambahkan. Untuk kunci tanpa versi, gunakan nama kunci yang sama.

SQL Server tidak memiliki mekanisme untuk secara otomatis memutar kunci asimetris yang digunakan untuk TDE. Langkah-langkah untuk memutar kunci asimetris secara manual adalah sebagai berikut.

1. Kredensial yang digunakan dalam penyiapan awal kami (sysadmin_ekm_cred) juga dapat digunakan kembali untuk rotasi kunci. Secara opsional, buat kredensial baru untuk kunci asimetris baru.

   CREATE CREDENTIAL <new_credential_name>
       WITH IDENTITY = <key vault>,
       SECRET = 'existing/new secret'
       FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;
   

2. Tambahkan kredensial ke prinsipal:

   ALTER LOGIN [domain\userName];
   ADD CREDENTIAL <new_credential_name>;
   

3. Buat kunci asimetris baru berdasarkan kunci baru (setelah memutar kunci). Kunci baru bisa menjadi kunci tanpa versi (ContosoRSAKey0 dalam contoh kami) atau kunci versi (ContosoRSAKey0/1a4d3b9b393c4678831ccc60def75379 di mana 1a4d3b9b393c4678831ccc60def75379 adalah versi kunci yang diperbarui di AKV):

   CREATE ASYMMETRIC KEY <new_ekm_key_name>
    FROM PROVIDER [AzureKeyVault_EKM]  
    WITH PROVIDER_KEY_NAME = <new_key_from_key_vault>,  
    CREATION_DISPOSITION = OPEN_EXISTING;
   

4. Buat login baru dari kunci asimetris baru:

   CREATE LOGIN <new_login_name>
   FROM ASYMMETRIC KEY <new_ekm_key_name>;
   

5. Hilangkan kredensial dari prinsipal:

   ALTER LOGIN [domain\username]
   DROP CREDENTIAL <new_credential_name>;
   

6. Petakan kredensial AKV ke login baru:

   ALTER LOGIN <new_login_name>;
   ADD CREDENTIAL <new_credential_name>;
   

7. Ubah kunci enkripsi database (DEK) untuk mengenkripsi ulang dengan kunci asimetris baru:

   USE [databaseName];
   GO
   ALTER DATABASE ENCRYPTION KEY ENCRYPTION BY SERVER ASYMMETRIC KEY <new_ekm_key_name>;
   

8. Anda dapat memverifikasi kunci asimetris baru dan kunci enkripsi yang digunakan dalam database:

   SELECT encryptor_type, encryption_state_desc, encryptor_thumbprint 
   FROM sys.dm_database_encryption_keys 
   WHERE database_id = DB_ID('databaseName');
   

   Thumbprint ini harus cocok dengan kunci registri di bawah jalur HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Provider\Azure Key Vault\<key_vault_url>\<thumbprint> dan memberi Anda kunci yang KeyUri diputar.

Penting

Memutar pelindung TDE logis untuk server berarti beralih ke kunci atau sertifikat asimetris baru yang melindungi kunci enkripsi database (DEK). Rotasi kunci adalah operasi online dan hanya perlu beberapa detik untuk diselesaikan, karena ini hanya mendekripsi dan mengenkripsi ulang DEK dan bukan seluruh database.

Jangan hapus versi kunci sebelumnya setelah rotasi. Ketika kunci diputar, beberapa data masih dienkripsi dengan kunci sebelumnya, seperti cadangan database yang lebih lama, file log yang dicadangkan, file log virtual (VLF), dan file log transaksi. Kunci sebelumnya mungkin juga diperlukan untuk pemulihan database atau pemulihan database.

Konten terkait

• Gunakan Koneksi or SQL Server dengan fitur enkripsi SQL
• Manajemen Kunci yang Dapat Diperluas dengan Azure Key Vault
• Pemeliharaan dan pemecahan masalah SQL Server Connector