Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:
Solo Windows - SQL Server 2019 (15.x) e versioni successive, Azure SQL Database
In Always Encrypted, la rotazione della chiave è il processo di sostituzione di una chiave master di colonna esistente o di una chiave di crittografia di colonna con una nuova chiave. Questo articolo descrive i casi d'uso e le considerazioni per la rotazione delle chiavi specifiche di Always Encrypted con enclave sicuri quando la chiave iniziale e/o la chiave di destinazione (nuova) è una chiave abilitata per l'enclave. Per linee guida e processi generali per la gestione delle chiavi Always Encrypted, vedere Panoramica della gestione delle chiavi per Always Encrypted.
Potrebbe essere necessario ruotare una chiave per motivi di sicurezza o di conformità, ad esempio se una chiave è stata compromessa o i criteri dell'organizzazione richiedono di sostituire periodicamente le chiavi. Inoltre, Always Encrypted con la rotazione delle chiavi delle enclavi sicure consente di abilitare o disabilitare la funzionalità delle enclave sicure lato server per le colonne crittografate.
- Quando si sostituisce una chiave non abilitata per l'enclave con una chiave abilitata per l'enclave, si sblocca la funzionalità dell'enclave sicura, consentendo di eseguire query sulle colonne protette con la chiave. Per altre informazioni, vedere Abilitare Always Encrypted con enclave sicuri per le colonne crittografate esistenti.
- Quando si sostituisce una chiave abilitata all'enclave con una chiave non abilitata all'enclave, si disabilita la funzionalità dell'enclave sicura per effettuare query su colonne protette dalla chiave.
Se si ruota una chiave solo per motivi di sicurezza/conformità e non per abilitare o disabilitare i calcoli dell'enclave per le colonne, verificare che la chiave di destinazione abbia la stessa configurazione per le enclave della chiave di origine. Se ad esempio la chiave di origine è abilitata per l'enclave, anche la chiave di destinazione deve essere abilitata per l'enclave.
I passaggi seguenti includono collegamenti ad articoli dettagliati, a seconda dello scenario di rotazione:
Fornire una nuova chiave (una chiave master di colonna o una chiave di crittografia di colonna).
- Per generare una nuova chiave abilitata per l'enclave, vedere Generare chiavi abilitate per l'enclave.
- Per effettuare il provisioning di una chiave non abilitata per l'enclave, vedere Effettuare il provisioning di chiavi Always Encrypted usando SQL Server Management Studio e Effettuare il provisioning di chiavi always encrypted con PowerShell.
Annotazioni
Quando si utilizza Azure Key Vault come archivio di chiavi, la rotazione delle chiavi gestite dai clienti multi-tenant non è supportata. Assicurarsi che la nuova chiave gestita dal cliente si trova nello stesso tenant di quello esistente.
Sostituire una chiave esistente con la nuova chiave.
- Se si ruota una chiave di crittografia di colonna e sia la chiave di origine che la chiave di destinazione sono abilitate con enclave, è possibile eseguire la rotazione (che implica una nuova crittografia dei dati) in loco. Per ulteriori informazioni, vedere Configurare direttamente la crittografia delle colonne usando Always Encrypted con enclavi sicure.
- Per i passaggi dettagliati per la rotazione delle chiavi, vedere Ruotare le chiavi Always Encrypted usando SQL Server Management Studio e Ruotare le chiavi Always Encrypted con PowerShell.
Contenuto correlato
- Eseguire istruzioni Transact-SQL usando enclave sicuri
- Configurare la crittografia delle colonne sul posto usando Always Encrypted con enclave sicuri
- Abilitare Always Encrypted con enclave sicuri per le colonne crittografate esistenti
- Sviluppare applicazioni usando Always Encrypted con enclave sicuri
- Gestire le chiavi per Always Encrypted con enclave sicuri