Azure SQL Database でセキュリティで保護されたエンクレーブが設定された Always Encrypted を有効にする

適用対象:Azure SQL Database

Azure SQL Database で、セキュリティで保護されたエンクレーブが設定された Always Encrypted には、Intel Software Guard Extensions (Intel SGX) エンクレーブまたは仮想化ベースのセキュリティ (VBS) エンクレーブを使用できます。 詳細については、Azure SQL Database でのセキュリティで保護されたエンクレーブの計画に関する記事を参照してください。

Intel SGX エンクレーブ

Intel SGX を使用できるようにするには、データベースで仮想コア モデルと DC シリーズのハードウェアを使用する必要があります。

Intel SGX エンクレーブを有効にするように DC シリーズのハードウェアを構成することは、Azure SQL Database 管理者の責任です。 詳細については、Intel SGX エンクレーブと構成証明を構成する場合のロールと責任に関する記事を参照してください。

注意

Intel SGX は、DC シリーズ以外のハードウェア構成では使用できません。 たとえば、Intel SGX は Standard シリーズ (Gen5) のハードウェアでは使用できず、DTU モデルを使用するデータベースでは使用できません。

重要

データベースに対して DC シリーズのハードウェアを構成する前に、DC シリーズのリージョン別の提供状況を確認し、そのパフォーマンスの制限を理解するようにしてください。 詳細については、DC シリーズに関するセクションをご覧ください。

特定のハードウェア構成を使うように新規または既存のデータベースを構成する方法の詳細については、「ハードウェア構成」を参照してください。

次の手順

• Azure SQL Database サーバー用に Azure Attestation を構成する

VBS エンクレーブ

既定では、新しいデータベースは VBS エンクレーブなしで作成されます。 データベースまたはエラスティック プールで VBS エンクレーブを有効にするには、preferredEnclaveTypeデータベース プロパティを VBS に設定する必要があります。これにより、データベースまたはエラスティック プールの VBS エンクレーブがアクティブになります。 preferredEnclaveType は、新しいデータベースまたはエラスティック プールの作成時に、もしくは既存のデータベースまたはエラスティック プールを更新することで設定できます。 エラスティック プールに追加するデータベースは、データベース SLO と同様に、エンクレーブ プロパティを継承します。 そのため、VBS エンクレーブが有効なエラスティック プールに VBS エンクレーブが有効ではないデータベースを追加すると、この新しいデータベースはエラスティック プールの一部になり、VBS エンクレーブが有効になります。 VBS エンクレーブが有効なデータベースを、VBS エンクレーブが有効ではないエラスティック プールに追加することはサポートされていません。

優先される EnclaveType プロパティは、Azure portal、SQL Server Management Studio、Azure PowerShell、または Azure CLI を使用して設定できます。

Azure portal を使用した仮想化ベースのセキュリティ (VBS) エンクレーブの有効化

仮想化ベースのセキュリティ (VBS) エンクレーブによる新しいデータベースまたはエラスティック プールの作成

1. Azure portal を開き、仮想化ベースのセキュリティ (VBS) エンクレーブを含むデータベースまたはエラスティック プールを作成する論理 SQL Server を見つけます。

2. [データベースの作成] または [新しいエラスティック プール] ボタンを選択します。

3. [セキュリティ] タブで、[Always Encrypted] セクションを探します。

4. [セキュリティで保護されたエンクレーブを有効にする] を [オン] に設定します。 これにより、仮想化ベースのセキュリティ (VBS) エンクレーブが有効になっているデータベースが作成されます。

   

既存のデータベースまたはエラスティック プールに対して仮想化ベースのセキュリティ (VBS) エンクレーブを有効にする

1. Azure portal を開き、セキュリティで保護されたエンクレーブを有効にするデータベースまたはエラスティック プールを探します。

2. 既存のデータベースについて:

   1. [セキュリティ設定] で、[データ暗号化] を選択します。

   2. [データ暗号化] メニューの [Always Encrypted] タブを選択します。

   3. [セキュリティで保護されたエンクレーブを有効にする] を [オン] に設定します。

      

   4. [保存] を選択して、Always Encryptedの構成を保存します。

3. 既存のエラスティック プールについて:

   1. [設定] で [構成] を選択します。

   2. [構成] メニューの [Always Encrypted] タブを選択します。

   3. [セキュリティで保護されたエンクレーブを有効にする] を [オン] に設定します。

      

   4. [保存] を選択して、Always Encryptedの構成を保存します。

SQL Server Management Studio を使用した仮想化ベースのセキュリティ (VBS) エンクレーブの有効化

最新バージョンの SQL Server Management Studio (SSMS) をダウンロードします。

仮想化ベースのセキュリティ (VBS) エンクレーブを使用して新しいデータベースを作成する

1. SSMS を開き、データベースを作成する論理サーバーに接続します。
2. [データベース] フォルダーを右クリックし、[アタッチ] をクリックします。
3. [SLO の構成] ページで、[セキュリティで保護されたエンクレーブを有効にする] オプションを [オン] に設定します。 これにより、仮想化ベースのセキュリティ (VBS) エンクレーブが有効になっているデータベースが作成されます。

既存のデータベースに対して仮想化ベースのセキュリティ (VBS) エンクレーブを有効にする

1. SSMS を開き、データベースを変更する論理サーバーに接続します。
2. データベースを右クリックし、[プロパティ] を選択します。
3. [SLO の構成] ページで、[セキュリティで保護されたエンクレーブを有効にする] オプションを [オン] に設定します。
4. [OK] を選択してデータベースのプロパティを保存します。

Azure PowerShell を使って仮想化ベースのセキュリティ (VBS) エンクレーブを有効にする

仮想化ベースのセキュリティ (VBS) エンクレーブによる新しいデータベースまたはエラスティック プールの作成

New-AzSqlDatabase コマンドレットを使って、VBS エンクレーブが設定された新しいデータベースを作成します。 次の例では、VBS エンクレーブが設定されたサーバーレス データベースを作成します。

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

New-AzSqlElasticPool コマンドレットを使用して、VBS エンクレーブが設定された新しいエラスティック プールを作成します。 次の例では、VBS エンクレーブを設定したエラスティック プールを作成します。

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

既存のデータベースまたはエラスティック プールに対して仮想化ベースのセキュリティ (VBS) エンクレーブを有効にする

既存のデータベースに対して VBS エンクレーブを有効にするには、Set-AzSqlDatabase コマンドレットを使います。 次に例を示します。

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

既存のエラスティック プールで VBS エンクレーブを有効にするには、Set-AzSqlElasticPool コマンドレットを使用します。 次に例を示します。

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Azure CLI を使って仮想化ベースのセキュリティ (VBS) エンクレーブを有効にする

仮想化ベースのセキュリティ (VBS) エンクレーブによる新しいデータベースまたはエラスティック プールの作成

az sql db create コマンドレットを使って、VBS エンクレーブが設定された新しいデータベースを作成します。 次の例では、VBS エンクレーブが設定されたサーバーレス データベースを作成します。

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

az sql elastic-pool create コマンドレットを使用して、VBS エンクレーブを設定した新しいエラスティック プールを作成します。 次の例では、VBS エンクレーブが設定されたサーバーレス データベースを作成します。

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

既存のデータベースまたはエラスティック プールに対して仮想化ベースのセキュリティ (VBS) エンクレーブを有効にする

既存のデータベースの VBS エンクレーブを有効にするには、az sql db update コマンドレットを使います。 次に例を示します。

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

既存のエラスティック プールで VBS エンクレーブを有効にするには、az sql elastic-pool update コマンドレットを使用します。 次に例を示します。

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

関連項目

• セキュリティで保護されたエンクレーブが設定された Always Encrypted を使い始める