PowerShell을 사용하여 현재 위치에서 열 암호화 구성

적용 대상:SQL ServerAzure SQL DatabaseAzure SQL Managed Instance

이 문서에서는 Set-SqlColumnEncryption cmdlet(SqlServer PowerShell 모듈)을 사용하여 데이터베이스 열에 대한 대상 Always Encrypted 구성을 설정하는 단계를 제공합니다. Set-SqlColumnEncryption cmdlet은 대상 데이터베이스의 스키마와 선택한 열에 저장된 데이터를 모두 수정합니다. 열에 저장된 데이터는 열에 대해 지정된 대상 암호화 설정 및 현재 암호화 구성에 따라 암호화, 다시 암호화 또는 암호 해독할 수 있습니다. Enclave 를 사용하여 현재 위치 암호화 작업을 트리거하려면 Set-SqlColumnEncryption 은 증명 프로토콜 및 선택적으로 증명 URL 키워드가 있는 연결 문자열을 사용하여 만든 데이터베이스 연결을 사용해야 합니다.

전제 조건

대상 암호화 구성을 설정하려면 다음을 확인해야 합니다.

• enclave 사용 열 암호화 키는 데이터베이스에서 구성됩니다(열을 암호화하거나 다시 암호화하는 경우). 자세한 내용은 보안 Enclave를 사용하여 Always Encrypted에 대한 키 관리를 참조 하세요.
• Always Encrypted를 사용하도록 설정하고 연결 문자열에 지정된 증명 속성을 사용하여 데이터베이스에 연결됩니다.
• PowerShell cmdlet을 실행하는 컴퓨터에서 암호화, 다시 암호화 또는 암호 해독하려는 각 열에 대한 열 마스터 키에 액세스할 수 있어야 합니다.
• SqlServer PowerShell 모듈 버전 22.0.50 이상을 사용합니다.

가용성 고려 사항

현재 위치 Set-SqlColumnEncryption cmdlet은 온라인 암호화를 지원하지 않습니다.

오프라인 방식을 사용하면 대상 테이블과 대상 테이블과 관련된 테이블(예: 대상 테이블에 외래 키 관계가 있는 테이블)은 작업 기간 동안 트랜잭션을 작성할 수 없습니다. 오프라인 접근 방식을 사용할 때 외래 키 제약 조건(CHECK 또는 NOCHECK)의 의미 체계는 항상 유지됩니다.

암호화 프로세스 중에 가동 중지 시간을 감당할 수 없는 경우 온라인 암호화를 지원하는 Transact-SQL에서 현재 위치에서 열 암호화 구성을 사용하는 것이 좋습니다.

보안 고려사항

데이터베이스 열에 대한 암호화를 구성하는 데 사용되는 Set-SqlColumnEncryption cmdlet은 상시 암호화 키와 데이터베이스 열에 저장된 데이터를 둘 다 처리합니다. 따라서 보안 컴퓨터에서 cmdlet을 실행하는 것이 중요합니다. 데이터베이스가 SQL Server에 있는 경우 SQL Server 인스턴스를 호스트하는 컴퓨터 이외의 다른 컴퓨터에서 cmdlet을 실행합니다. 상시 암호화의 주요 목표는 데이터베이스 시스템이 손상된 경우에도 암호화된 중요한 데이터를 안전하게 보호하는 것이므로 SQL Server 컴퓨터에서 키 및/또는 중요한 데이터를 처리하는 PowerShell 스크립트를 실행하면 기능의 이점이 감소하거나 무효화될 수 있습니다.

Task	아티클	일반 텍스트 키/키 저장소에 액세스	데이터베이스에 액세스
1단계 PowerShell 환경을 시작하고 SqlServer 모듈을 가져옵니다.	SqlServer 모듈 가져오기	없음	없음
2단계. 서버 및 데이터베이스에 연결	데이터베이스에 연결	없음	네
3단계: 열 마스터 키(순환할 열 암호화 키 보호)가 Azure Key Vault에 저장된 경우 Azure에 인증	Connect-AzAccount	네	없음
4단계. Azure Key Vault에 대한 액세스 토큰을 가져옵니다.	Get-AzAccessToken	없음	없음
5단계. SqlColumnEncryptionSettings 개체의 배열을 생성합니다. 각 데이터베이스 열에 대해 하나씩 암호화, 다시 암호화 또는 암호 해독하려고 합니다. SqlColumnMasterKeySettings는 PowerShell의 메모리에 있는 개체입니다. 열의 대상 암호화 체계를 지정합니다.	New-SqlColumnEncryptionSettings	없음	없음
5단계. 이전 단계에서 만든 SqlColumnMasterKeySettings 개체 배열에 지정된 원하는 암호화 구성을 설정합니다. 열은 지정된 대상 설정 및 열의 현재 암호화 구성에 따라 암호화, 다시 암호화 또는 암호 해독됩니다.	Set-SqlColumnEncryption 참고: 이 단계는 시간이 오래 걸릴 수 있습니다. 애플리케이션은 선택한 방법(온라인 및 오프라인)에 따라 전체 작업 또는 일부 작업을 통해 테이블에 액세스할 수 없습니다.	네	네

VBS enclave를 사용하여 열 암호화

아래 예제에서는 두 열에 대한 대상 암호화 구성을 설정하는 방법을 보여 줍니다. 두 열 중 하나가 아직 암호화되지 않은 경우 암호화됩니다. 다른 키 및/또는 다른 암호화 형식을 사용하여 이미 암호화된 열이 있으면 암호가 해독된 다음 지정된 대상 키/형식으로 다시 암호화됩니다. VBS Enclave는 현재 증명을 지원하지 않습니다. EnclaveAttestationProtocol 매개 변수는 None으로 설정해야 하며 EnclaveAttestationUrl은 필요하지 않습니다.

# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0

#Connect to Azure
Connect-AzAccount

# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token  

# Connect to your database.
$serverName = "<servername>.database.windows.net"
$databaseName = "<DatabaseName>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + ";  Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr

# Encrypt the selected columns (or re-encrypt, if they are already encrypted using keys/encrypt types, different than the specified keys/types.
$ces = @() 
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.SSN" -EncryptionType "Randomized" -EncryptionKey "CEK" 
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey "CEK" 
Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory . -EnclaveAttestationProtocol "None" -KeyVaultAccessToken $keyVaultAccessToken

열 암호 해독 - 예제

다음 예제에서는 데이터베이스에서 현재 암호화된 모든 열의 암호를 해독하는 방법을 보여 줍니다.

# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0

#Connect to Azure
Connect-AzAccount

# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token  

# Connect to your database.
$serverName = "<server name>"
$databaseName = "<database name>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + "; Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr

# Find all encrypted columns, and create a SqlColumnEncryptionSetting object for each column.
$ces = @()
$tables = $database.Tables
for($i=0; $i -lt $tables.Count; $i++){
    $columns = $tables[$i].Columns
    for($j=0; $j -lt $columns.Count; $j++) {
        if($columns[$j].isEncrypted) {
            $threeColPartName = $tables[$i].Schema + "." + $tables[$i].Name + "." + $columns[$j].Name 
            $ces += New-SqlColumnEncryptionSettings -ColumnName $threeColPartName -EncryptionType "Plaintext" 
        }
    }
}

# Decrypt all columns.
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces -InputObject $database -LogFileDirectory . -EnclaveAttestationProtocol "None" -KeyVaultAccessToken $keyVaultAccessToken

SGX enclave를 사용하여 열 암호화

아래 예제에서는 두 열에 대한 대상 암호화 구성을 설정하는 방법을 보여 줍니다. 두 열 중 하나가 아직 암호화되지 않은 경우 암호화됩니다. 다른 키 및/또는 다른 암호화 형식을 사용하여 이미 암호화된 열이 있으면 암호가 해독된 다음 지정된 대상 키/형식으로 다시 암호화됩니다. Enclave를 사용하여 현재 위치 암호화 작업을 트리거하려면 EnclaveAttestationProtocol 및 EnclaveAttestationUrl 매개 변수가 필요합니다.

# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0

#Connect to Azure
Connect-AzAccount

# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token  

# Connect to your database.
$serverName = "<servername>.database.windows.net"
$databaseName = "<DatabaseName>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + ";  Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr

# Encrypt the selected columns (or re-encrypt, if they are already encrypted using keys/encrypt types, different than the specified keys/types.
$ces = @() 
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.SSN" -EncryptionType "Randomized" -EncryptionKey "CEK" 
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey "CEK" 
Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory . -EnclaveAttestationProtocol "AAS" -EnclaveAttestationURL "https://<attestationURL>"   -KeyVaultAccessToken $keyVaultAccessToken

열 암호 해독 - 예제

다음 예제에서는 데이터베이스에서 현재 암호화된 모든 열의 암호를 해독하는 방법을 보여 줍니다.

# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0

#Connect to Azure
Connect-AzAccount

# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token  

# Connect to your database.
$serverName = "<server name>"
$databaseName = "<database name>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + "; Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr

# Find all encrypted columns, and create a SqlColumnEncryptionSetting object for each column.
$ces = @()
$tables = $database.Tables
for($i=0; $i -lt $tables.Count; $i++){
    $columns = $tables[$i].Columns
    for($j=0; $j -lt $columns.Count; $j++) {
        if($columns[$j].isEncrypted) {
            $threeColPartName = $tables[$i].Schema + "." + $tables[$i].Name + "." + $columns[$j].Name 
            $ces += New-SqlColumnEncryptionSettings -ColumnName $threeColPartName -EncryptionType "Plaintext" 
        }
    }
}

# Decrypt all columns.
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces -InputObject $database -LogFileDirectory . -EnclaveAttestationProtocol "AAS" -EnclaveAttestationURL "https://<attestationURL>" -KeyVaultAccessToken $keyVaultAccessToken

다음 단계

• 보안 Enclave를 사용하여 Always Encrypted를 사용하여 애플리케이션 개발

참고 항목

• 보안 enclave를 사용한 Always Encrypted
• 보안 Enclave를 사용한 Always Encrypted 키 관리
• Transact-SQL을 사용하여 현재 위치에서 열 암호화 구성
• DAC 패키지를 사용하여 현재 위치에서 열 암호화 구성
• SSMS에서 Always Encrypted 마법사를 사용하여 현재 위치에서 열 암호화 구성