Always Encrypted 마법사를 사용하여 열 암호화 구성

  • 아티클

적용 대상:SQL ServerAzure SQL DatabaseAzure SQL Managed Instance

Always Encrypted 마법사는 선택한 데이터베이스 열에 대해 원하는 Always Encrypted 구성을 설정할 수 있는 강력한 도구입니다. 현재 구성 및 원하는 대상 구성에 따라 마법사는 열을 암호화하거나, 암호를 해독하거나(암호화 제거) 다시 암호화할 수 있습니다(예: 열에 대해 구성된 현재 형식과 다른 새 열 암호화 키 또는 암호화 형식 사용). 마법사를 한 번의 실행으로 여러 열을 구성할 수 있습니다.

마법사를 사용하면 기존 열 암호화 키를 사용하여 열을 암호화하거나 새 열 암호화 키 또는 새 열 암호화 키와 새 열 마스터 키를 모두 생성하도록 선택할 수 있습니다.

데이터베이스가 보안 Enclave로 구성된 경우 데이터베이스에서 데이터를 이동하지 않고 암호화 작업을 현재 위치에서 실행할 수 있습니다. 마법사는 암호화할 열의 스키마 변경을 차단하는 모든 종속성을 제거합니다. 데이터베이스 엔진 내에서 enclave를 사용하여 각 열에 대한 현재 위치 암호화를 발급합니다. 암호화가 완료되면 마법사가 종속성을 다시 만듭니다. 보안 Enclave를 사용한 Always Encrypted에 대한 자세한 내용은 보안 Enclave를 사용한 Always Encrypted를 참조 하세요.

데이터베이스가 보안 Enclave로 구성되지 않은 경우 마법사는 보안 Enclave를 사용하도록 설정할 수 있는 기회를 제공합니다. 보안 Enclave를 사용하지 않도록 선택하거나 enclave 사용 키를 사용하지 않는 경우 마법사는 데이터베이스에서 데이터를 이동하고 SSMS 프로세스 내에서 암호화 작업을 수행하여 작동합니다. 마법사는 데이터베이스에서 원하는 암호화 구성을 사용하여 새 테이블을 만들고, 원래 테이블에서 모든 데이터를 로드하고, 요청된 암호화 작업을 수행하고, 데이터를 새 테이블에 업로드한 다음 원래 테이블을 새 테이블로 바꿉니다.

사용자 환경에서 사용할 수 있는 경우 보안 Enclave와 함께 Always Encrypted를 사용하여 현재 위치 암호화를 사용하면 암호화 작업의 시간과 안정성을 크게 줄일 수 있습니다.

참고 항목

암호화 작업을 실행하는 데 시간이 오래 걸릴 수 있습니다. 이 기간 동안 데이터베이스는 트랜잭션을 작성할 수 없습니다. PowerShell은 더 큰 테이블에서 암호화 작업에 권장되는 도구입니다. PowerShell에서 Always Encrypted를 사용하여 열 암호화 구성 또는 PowerShell을 사용하여 열 암호화 구성을 참조하세요.

사용 권한

마법사를 사용하여 암호화 작업을 수행하려면 VIEW ANY COLUMN MASTER KEY DEFINITION 및 VIEW ANY COLUMN ENCRYPTION KEY DEFINITION 권한이 있어야 합니다. 열 마스터 키를 만들고, 액세스하고, 사용하려면 키 저장소 권한도 필요합니다. 키 저장소 권한에 대한 자세한 내용은 Always Encrypted대한 열 마스터 키 만들기 및 저장으로 이동하거나 키 저장소와 관련된 섹션을 찾습니다.

상시 암호화 마법사 열기

다음 세 가지 수준에서 마법사를 시작할 수 있습니다.

  • 데이터베이스 수준에서 - 다른 테이블에 있는 여러 열을 암호화하려는 경우
  • 테이블 수준 - 동일한 테이블에 있는 여러 열을 암호화하려는 경우
  • 열 수준 - 특정 열을 암호화하려는 경우

  1. SQL Server Management Studio의 개체 탐색기 구성 요소를 사용하여 SQL Server에 커넥트.

  2. 암호화하려면 다음을 수행합니다.

    1. 데이터베이스의 여러 테이블에 있는 여러 열이 데이터베이스를 마우스 오른쪽 단추로 클릭하고 작업을 가리킨 다음 열 암호화를 선택합니다.
    2. 같은 테이블에 있는 여러 열을 테이블로 이동하여 마우스 오른쪽 단추로 클릭한 다음 열 암호화를 선택합니다.
    3. 개별 열을 탐색하고 열을 마우스 오른쪽 단추로 클릭한 다음 열 암호화를 선택합니다.

열 선택 페이지

이 페이지에서는 암호화, 다시 암호화 또는 암호 해독할 열을 선택하고 선택한 열에 대한 대상 암호화 구성을 정의합니다.

일반 텍스트 열(암호화되지 않은 열)을 암호화하려면 암호화 유형(결정적 또는 임의화됨)과 열에 대한 암호화 키를 선택합니다.

암호화 유형을 변경하거나 이미 암호화된 열에 대한 열 암호화 키를 회전(변경)하려면 원하는 암호화 유형 및 키를 선택합니다.

마법사에서 새 열 암호화 키를 사용하여 하나 이상의 열을 암호화하거나 다시 암호화하려면 이름에 포함된 키(새로 만들기) 를 선택합니다. 마법사에서 키를 생성합니다.

현재 암호화된 열의 암호를 해독하려면 암호화 형식에 일반 텍스트를 선택합니다.

참고 항목

현재 위치 암호화를 활용하고 기존 키를 사용하는 경우 enclave 사용 키(enclave 사용)로 주석이 추가된 키를 선택해야 합니다.

참고 항목

마법사는 임시 및 메모리 내 테이블에 대한 암호화 작업을 지원하지 않습니다. Transact-SQL을 사용하여 빈 임시 또는 메모리 내 테이블을 만들고 애플리케이션을 사용하여 데이터를 삽입할 수 있습니다.

마스터 키 구성 페이지

이전 페이지의 열에 대해 자동 생성된 열 암호화 키를 선택한 경우 이 페이지에서 기존 열 마스터 키를 선택하거나 열 암호화 키를 암호화하는 새 열 마스터 키를 구성해야 합니다.

새 열 마스터 키를 구성할 때 Windows 인증서 저장소 또는 Azure Key Vault에서 기존 키를 선택하고 마법사에서 데이터베이스의 키에 대한 메타데이터 개체만 만들거나 데이터베이스의 키를 설명하는 키와 메타데이터 개체를 모두 생성하도록 선택할 수 있습니다.

현재 위치 암호화를 사용하려면 새 열 마스터 키에 대해 Enclave 계산 허용을 선택해야 합니다. 데이터베이스가 보안 enclave로 구성된 경우에만 이 검사box를 선택할 수 있습니다.

Windows 인증서 저장소, Azure Key Vault 또는 기타 키 저장소에서 열 마스터 키를 만들고 저장하는 방법에 대한 자세한 내용은 보안 enclave를 사용하여 Always Encrypted 또는 Always Encrypted용 키 관리용 열 마스터 키 만들기 및 저장을 참조하세요.

마법사를 사용하면 Windows 인증서 저장소 및 Azure Key Vault에서만 키를 찾아서 만들 수 있습니다. 또한 새 키와 키를 설명하는 데이터베이스 메타데이터 개체의 이름을 자동으로 생성합니다. 키가 프로비전되는 방법을 더 자세히 제어해야 하는 경우(그리고 열 마스터 키가 포함된 키 저장소에 대한 더 많은 선택 사항) 새 열 마스터 키새 열 암호화 키 대화 상자를 사용하여 키를 먼저 만든 다음 마법사를 실행하고 만든 키를 선택할 수 있습니다. 새 열 마스터 키 대화 상자를 사용하여 열 마스터 키 프로비전 또는 enclave 사용 키 프로비전 및 새 열 암호화 키 대화 상자를 사용하여 열 암호화 키 프로비전을 참조하세요.

현재 위치 암호화 설정 페이지

데이터베이스에서 보안 Enclave를 구성하고 enclave 사용 키를 사용하는 경우 이 페이지에서 현재 위치 암호화에 필요한 Enclave 증명 매개 변수를 지정할 수 있습니다. 현재 위치 암호화를 사용하지 않으려면 적격 열에 대한 현재 위치 암호화 사용을 선택 취소하여 클라이언트 쪽 암호화를 계속 진행합니다 . 마법사에서 현재 위치 암호화를 사용할 수 있도록 이 검사box를 사용하도록 설정하는 것이 좋습니다.

Enclave 증명에 대한 자세한 내용은 Azure Attestation을 사용하여 Always Encrypted에 대한 증명 구성을 참조 하세요.

다음 단계

참고 항목