Set-SqlColumnEncryption
Crittografa, decrittografa o ricrittografa le colonne specificate nel database.
Sintassi
Set-SqlColumnEncryption
-ColumnEncryptionSettings <SqlColumnEncryptionSettings[]>
[-UseOnlineApproach]
[-KeepCheckForeignKeyConstraints]
[-MaxDowntimeInSeconds <Int32>]
[-KeyVaultAccessToken <String>]
[-ManagedHsmAccessToken <String>]
[-LockTimeoutInSeconds <Int32>]
[-MaxIterationDurationInDays <Int32>]
[-MaxDivergingIterations <Int32>]
[-MaxIterations <Int32>]
[-EnclaveAttestationProtocol <SqlConnectionAttestationProtocol>]
[-EnclaveAttestationURL <String>]
[-LogFileDirectory <String>]
[-InputObject] <Database>
[-Script]
[-AccessToken <PSObject>]
[-TrustServerCertificate]
[-HostNameInCertificate <String>]
[-Encrypt <String>]
[<CommonParameters>] Set-SqlColumnEncryption
-ColumnEncryptionSettings <SqlColumnEncryptionSettings[]>
[-UseOnlineApproach]
[-KeepCheckForeignKeyConstraints]
[-MaxDowntimeInSeconds <Int32>]
[-KeyVaultAccessToken <String>]
[-ManagedHsmAccessToken <String>]
[-LockTimeoutInSeconds <Int32>]
[-MaxIterationDurationInDays <Int32>]
[-MaxDivergingIterations <Int32>]
[-MaxIterations <Int32>]
[-EnclaveAttestationProtocol <SqlConnectionAttestationProtocol>]
[-EnclaveAttestationURL <String>]
[-LogFileDirectory <String>]
[[-Path] <String>]
[-Script]
[-AccessToken <PSObject>]
[-TrustServerCertificate]
[-HostNameInCertificate <String>]
[-Encrypt <String>]
[<CommonParameters>] Descrizione
Il cmdlet Set-SqlColumnEncryption crittografa, decrittografa o crittografa nuovamente le colonne di database specificate usando la funzionalità Always Encrypted.
Il cmdlet accetta una matrice di oggetti SqlColumnEncryptionSettings , ognuno dei quali specifica la configurazione di crittografia di destinazione per una colonna nel database.
Il cmdlet crittograferà, decrittograferà o crittograferà nuovamente ogni colonna specificata, a seconda della configurazione di crittografia corrente della colonna e delle impostazioni di crittografia di destinazione specificate.
Il cmdlet comunica con gli archivi chiavi che contengono le chiavi master delle colonne. Se una chiave master della colonna che protegge le colonne da crittografare, decrittografare o crittografare nuovamente, viene archiviata in Azure, è necessario specificare un token di autenticazione valido per un insieme di credenziali delle chiavi o un modulo di protezione hardware gestito che contiene la chiave. In alternativa, è possibile eseguire l'autenticazione in Azure con Add-SqlAzureAuthenticationContext prima di chiamare questo cmdlet.
Module requirements: version 21+ on PowerShell 5.1; version 22+ on PowerShell 7.x.
Esempio
Esempio 1: applicare le impostazioni di crittografia di destinazione specificate a tre colonne di database.
In questo esempio la dbo.Student.Id colonna viene crittografata usando la crittografia deterministica e la chiave di crittografia della colonna, denominata MyCEK.
La dbo.Student.LastName colonna viene crittografata usando la crittografia casuale e la chiave di crittografia della colonna, denominata MyCEK.
La dbo.StudentFirstName colonna non viene crittografata (se la colonna è inizialmente crittografata, viene decrittografata).
Nell'esempio viene usato l'approccio offline, ovvero la tabella Student rimarrà non disponibile per gli aggiornamenti durante l'operazione.
Si supponga che la chiave master della colonna, che protegge MyCEK, non sia archiviata in Azure Key Vault.
$ces1 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.Id' -EncryptionType 'Deterministic' -EncryptionKey 'MyCek'
$ces2 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.LastName' -EncryptionType 'Randomized' -EncryptionKey 'MyCek'
$ces3 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.FirstName' -EncryptionType 'Plaintext'
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces1,$ces2,$ces3 -LogFileDirectory .Esempio 2: applicare le impostazioni di crittografia di destinazione specificate alle tre colonne di database (la chiave master della colonna viene archiviata in Azure Key Vault).
Questo esempio è simile a quello precedente; solo la differenza è che la chiave master della colonna che protegge MyCEK viene archiviata in Azure Key Vault.
# Connect to Azure account.
Import-Module Az.Accounts -MinimumVersion 2.2.0
Connect-AzAccount
# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token
$ces1 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.Id' -EncryptionType 'Deterministic' -EncryptionKey 'MyCek'
$ces2 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.LastName' -EncryptionType 'Randomized' -EncryptionKey 'MyCek'
$ces3 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.FirstName' -EncryptionType 'Plaintext'
# Pass the token to the cmdlet. It will use the token to communicate with Azure Key Vault to obtain the plaintext value of the column encryption key.
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces1,$ces2,$ces3 -LogFileDirectory . -KeyVaultAccessToken $keyVaultAccessTokenEsempio 3: applicare le impostazioni di crittografia di destinazione specificate a tre colonne di database usando l'approccio online.
In questa tabella di esempio Student non sarà disponibile per letture e scritture per un massimo di 30 secondi (il valore specificato usando il parametro MaxDowntimeInSeconds ). Si supponga che la chiave master della colonna, che protegge MyCEK, venga archiviata all'esterno di Azure (non è necessario passare un token di Azure).
$ces1 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.Id' -EncryptionType 'Deterministic' -EncryptionKey 'MyCek'
$ces2 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.LastName' -EncryptionType 'Randomized' -EncryptionKey 'MyCek'
$ces3 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.FirstName' -EncryptionType 'Plaintext'
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces1,$ces2,$ces3 -UseOnlineApproach -MaxDowntimeInSeconds 30 -LogFileDirectory .Esempio 4: applicare le impostazioni di crittografia di destinazione a più colonne usando la crittografia sul posto.
$ces1 = New-SqlColumnEncryptionSettings -ColumnName dbo.Student.Id -EncryptionType 'Randomized' -EncryptionKey 'CEK1'
$ces2 = New-SqlColumnEncryptionSettings -ColumnName dbo.Student.LastName -EncryptionType 'Randomized' -EncryptionKey 'CEK1'
$ces3 = New-SqlColumnEncryptionSettings -ColumnName dbo.Student.FirstName -EncryptionType 'Randomized' -EncryptionKey 'CEK1'
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces1,$ces2,$ces3 -LogFileDirectory . -EnclaveAttestationProtocol 'AAS' -EnclaveAttestationURL 'https://enclavedemoattest.weu.attest.azure.net'In questo esempio vengono applicate le impostazioni di crittografia di destinazione alle colonne del database che usano la crittografia sul posto, purché siano soddisfatti tutti i prerequisiti per la crittografia sul posto, ovvero il database ha un enclave abilitato e le chiavi usate nelle operazioni di crittografia, che i trigger del cmdlet, sono abilitati per l'enclave.
Parametri
-AccessToken
Token di accesso usato per eseguire l'autenticazione per SQL Server, in alternativa all'autenticazione utente/password o Windows.
Può essere usato, ad esempio, per connettersi a SQL Azure DB e SQL Azure Managed Instance usando un Service Principal oggetto o .Managed Identity
Il parametro da usare può essere una stringa che rappresenta il token o un PSAccessToken oggetto restituito eseguendo Get-AzAccessToken -ResourceUrl https://database.windows.net.
Questo parametro è nuovo nella versione 22 del modulo.
| Type: | PSObject |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ColumnEncryptionSettings
Specifica una matrice di oggetti SqlColumnEncryptionSettings , ognuno dei quali specifica la configurazione di crittografia di destinazione per una colonna nel database.
| Type: | SqlColumnEncryptionSettings[] |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-EnclaveAttestationProtocol
Specifica il protocollo di attestazione di un enclave per Always Encrypted con enclave sicuri. Questo parametro è necessario affinché il cmdlet esegua operazioni di crittografia sul posto, all'interno di un enclave sicuro lato server, per annullare il download e il caricamento dei dati. Si noti che la crittografia sul posto include altri prerequisiti: il database deve avere un'enclave configurata ed è necessario usare chiavi di crittografia abilitate per l'enclave.
| Type: | SqlConnectionAttestationProtocol |
| Aliases: | AttestationProtocol |
| Accepted values: | NotSpecified, AAS, None, HGS |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-EnclaveAttestationURL
Specifica un URL di attestazione dell'enclave per la crittografia sul posto quando si usa Always Encrypted con enclave sicuri. Obbligatorio se EnclaveAttestationProtocol è impostato su AAS o HGS.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Encrypt
Tipo di crittografia da utilizzare per la connessione a SQL Server.
Questo valore esegue il Encrypt mapping alla proprietà SqlConnectionEncryptOption nell'oggetto SqlConnection del driver Microsoft.Data.SqlClient.
Nella versione 22 del modulo il valore predefinito è Optional (per compatibilità con la versione 21). Nella versione 23+ del modulo il valore predefinito sarà "Obbligatorio", che può creare una modifica di rilievo per gli script esistenti.
Questo parametro è nuovo nella versione 22 del modulo.
| Type: | String |
| Accepted values: | Mandatory, Optional, Strict |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-HostNameInCertificate
Nome host da usare per la convalida del certificato TLS/SSL di SQL Server. È necessario passare questo parametro se l'istanza di SQL Server è abilitata per Forza crittografia e si vuole connettersi a un'istanza usando nome host/nome breve. Se questo parametro viene omesso, è necessario passare il nome di dominio completo (FQDN) a -ServerInstance per connettersi a un'istanza di SQL Server abilitata per Forza crittografia.
Questo parametro è nuovo nella versione 22 del modulo.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InputObject
Specifica l'oggetto di database SQL per il quale questo cmdlet esegue l'operazione.
| Type: | Database |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-KeepCheckForeignKeyConstraints
Se impostata, la semantica check (CHECK o NOCHECK) dei vincoli di chiave esterna viene mantenuta.
In caso contrario, se non è impostato e se UseOnlineApproach non è impostato, i vincoli di chiave esterna vengono sempre ricreati con l'opzione NOCHECK per ridurre al minimo l'impatto sulle applicazioni.
KeepCheckForeignKeyConstraints è valido solo quando è impostato UseOnlineApproach.
Con l'approccio offline, la semantica dei vincoli di chiave esterna viene sempre mantenuta.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-KeyVaultAccessToken
Specifica un token di accesso per gli insiemi di credenziali delle chiavi in Azure Key Vault. Usare questo parametro se una delle chiavi master della colonna che proteggono le colonne da crittografare, decrittografare o crittografare nuovamente vengono archiviate negli insiemi di credenziali delle chiavi in Azure Key Vault.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-LockTimeoutInSeconds
Specifica il tempo massimo (in secondi) che il cmdlet attenderà i blocchi del database necessari per avviare l'ultima iterazione di recupero. Il valore -1 (impostazione predefinita) indica un periodo di timeout (ovvero attendere per sempre). Il valore 0 indica di non attendere affatto. Quando l'attesa per un blocco supera il valore di timeout, viene restituito un errore. Valido solo se è impostato UseOnlineApproach .
| Type: | Int32 |
| Position: | Named |
| Default value: | -1 |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-LogFileDirectory
Se impostato, il cmdlet creerà un file di log nella directory specificata.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ManagedHsmAccessToken
Specifica un token di accesso per i moduli di protezione hardware gestiti in Azure Key Vault. Usare questo parametro se una delle chiavi master della colonna che proteggono le colonne da crittografare, decrittografare o crittografare nuovamente, vengono archiviate in moduli di protezione hardware gestiti in Azure Key Vault.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-MaxDivergingIterations
Specifica il numero massimo di iterazioni di recupero consecutive, in cui aumenta il numero di righe elaborate. Quando viene raggiunto questo limite, il cmdlet presuppone che non sarà in grado di recuperare le modifiche apportate nella tabella di origine e interrompe l'operazione e ricrea lo stato originale del database. Valido solo se è impostato UseOnlineApproach . Deve essere minore del valore di MaxIterations.
| Type: | Int32 |
| Position: | Named |
| Default value: | 5 |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-MaxDowntimeInSeconds
Specifica il tempo massimo, espresso in secondi, durante il quale la tabella di origine non sarà disponibile per letture e scritture. Valido solo se è impostato UseOnlineApproach .
| Type: | Int32 |
| Position: | Named |
| Default value: | 1800 |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-MaxIterationDurationInDays
Specifica il tempo massimo ,in giorni, del seeding o di una singola iterazione di recupero. Se il seeding o qualsiasi iterazione di recupero richiede più del valore specificato, il cmdlet interrompe l'operazione e ricrea lo stato originale del database. Valido solo se è impostato UseOnlineApproach .
| Type: | Int32 |
| Position: | Named |
| Default value: | 3 |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-MaxIterations
Specifica il numero massimo di iterazioni nella fase di recupero. Quando viene raggiunto questo limite, il cmdlet interrompe l'operazione e ricrea lo stato originale del database. Valido solo se è impostato UseOnlineApproach .
| Type: | Int32 |
| Position: | Named |
| Default value: | 100 |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Path
Specifica il percorso del database SQL per il quale questo cmdlet esegue l'operazione. Se non si specifica un valore per questo parametro, il cmdlet usa il percorso di lavoro corrente.
| Type: | String |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Script
Indica che questo cmdlet restituisce uno script Transact-SQL che esegue l'attività eseguita da questo cmdlet.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-TrustServerCertificate
Indica se il canale verrà crittografato durante il bypass della catena di certificati per convalidare l'attendibilità.
Nella versione 22 del modulo il valore predefinito è $true (per compatibilità con la versione 21). Nella versione 23+ del modulo il valore predefinito sarà "$false", che può creare una modifica di rilievo per gli script esistenti.
Questo parametro è nuovo nella versione 22 del modulo.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-UseOnlineApproach
Se impostato, il cmdlet userà l'approccio online, per garantire che il database sia disponibile per altre applicazioni per letture e scritture per la maggior parte della durata dell'operazione.
In caso contrario, il cmdlet bloccherà le tabelle interessate, rendendole non disponibili per gli aggiornamenti per l'intera operazione. Le tabelle saranno disponibili per le letture.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Input
Microsoft.SqlServer.Management.Smo.Database
Output
String