gebeurtenis
31 mrt, 23 - 2 apr, 23
De grootste SQL-, Fabric- en Power BI-leerevenement. 31 maart – 2 april. Gebruik code FABINSIDER om $ 400 te besparen.
Zorg dat u zich vandaag nog registreertAlways Encrypted-sleutels inrichten met SQL Server Management Studio
van toepassing op:
SQL ServerAzure SQL DatabaseAzure SQL Managed Instance
Dit artikel bevat de stappen voor het inrichten van kolomhoofdsleutels en kolomversleutelingssleutels voor Always Encrypted met behulp van SQL Server Management Studio (SSMS). Zorg ervoor dat u de meest recente algemene beschikbaarheidsversie van SSMS installeert bij het inrichten van versleutelingssleutels.
Zie Overzicht van sleutelbeheer voor Always Encrypted-voor een overzicht van Always Encrypted-sleutelbeheer, inclusief aanbevelingen voor aanbevolen procedures en belangrijke beveiligingsoverwegingen.
In het dialoogvenster Nieuwe kolomhoofdsleutel kunt u een kolomhoofdsleutel genereren of een bestaande sleutel in een sleutelarchief kiezen en metagegevens van de kolomhoofdsleutel maken voor de gemaakte of geselecteerde sleutel in de database.
Gebruik Object Verkennerom naar het knooppunt Beveiliging -> Always Encrypted Keys onder uw database te navigeren.
Klik met de rechtermuisknop op het knooppunt Kolomhoofdsleutels en selecteer Nieuwe Kolomhoofdsleutel....
Voer in het dialoogvenster Nieuwe kolomhoofdsleutel de naam van het metagegevensobject van de kolomhoofdsleutel in.
Selecteer een sleutelopslag:
certificaatarchief - huidige gebruiker - geeft de locatie van het certificaatarchief van de huidige gebruiker in het Windows-certificaatarchief aan. Dit is uw persoonlijke archief.
Certificaatarchief - lokale computer - geeft de locatie van het certificaatarchief van de lokale computer in het Windows-certificaatarchief aan.
Azure Key Vault-: u moet zich aanmelden bij Azure (klik op Aanmelden). Nadat u zich hebt aangemeld, kunt u een van uw Azure-abonnementen en een sleutelkluis of een beheerde HSM selecteren (hiervoor is SSMS 18.9 of hoger vereist).
Notitie
Voor het gebruik van kolomhoofdsleutels die zijn opgeslagen in een beheerde HSM- in Azure Key Vault is SSMS 18.9 of een latere versie vereist.
Key Store Provider (KSP) - geeft een sleutelarchief aan dat toegankelijk is via een sleutelarchiefprovider (KSP) waarmee de Cryptografie volgende generatie -API (CNG) wordt geïmplementeerd. Dit type opslag is doorgaans een HSM (Hardware Security Module). Nadat u deze optie hebt geselecteerd, moet u een KSP kiezen. Microsoft Software Key Store Provider is standaard geselecteerd. Als u een kolomhoofdsleutel wilt gebruiken die is opgeslagen in een HSM, selecteert u een KSP voor uw apparaat (deze moet worden geïnstalleerd en geconfigureerd op de computer voordat u het dialoogvenster opent).
Cryptographic Service Provider (CSP): een sleutelarchief dat toegankelijk is via een cryptografische serviceprovider (CSP) waarmee de Cryptografie-API (CAPI) wordt geïmplementeerd. Een dergelijke winkel is doorgaans een HSM (Hardware Security Module). Nadat u deze optie hebt geselecteerd, moet u een CSP kiezen. Als u een kolomhoofdsleutel wilt gebruiken die is opgeslagen in een HSM, selecteert u een CSP voor uw apparaat (deze moet worden geïnstalleerd en geconfigureerd op de computer voordat u het dialoogvenster opent).
Notitie
Omdat CAPI een afgeschafte API is, is de optie Cryptografische serviceprovider (CAPI) standaard uitgeschakeld. U kunt dit inschakelen door de CAPI Provider Enabled DWORD-waarde te maken onder de [HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\sql13\Tools\Client\Always Encrypted]-sleutel in het Windows-register en deze in te stellen op 1. U moet CNG gebruiken in plaats van CAPI, tenzij uw sleutelarchief geen ondersteuning biedt voor CNG.
Zie Kolomhoofdsleutels maken en opslaan voor Always Encrypted-voor meer informatie over de bovenstaande sleutelarchieven.
Als u SQL Server 2019 (15.x) gebruikt en uw SQL Server-exemplaar is geconfigureerd met een beveiligde enclave, kunt u het selectievakje Enclaveberekeningen toestaan selectievakje inschakelen om de hoofdsleutel-enclave ingeschakeld te maken. Zie Always Encrypted met beveiligde enclaves voor meer informatie.
Notitie
Het selectievakje Enclaveberekeningen toestaan wordt niet weergegeven als uw SQL Server-exemplaar niet juist is geconfigureerd met een beveiligde enclave.
Kies een bestaande sleutel in uw sleutelarchief, of klik op de knop Sleutel genereren of de knop Certificaat genereren, om een sleutel in het sleutelarchief te maken.
Klik op OK- en de nieuwe sleutel wordt weergegeven in de lijst.
Zodra u het dialoogvenster hebt voltooid, maakt SQL Server Management Studio metagegevens voor uw kolomhoofdsleutel in de database. Het dialoogvenster genereert en geeft een CREATE COLUMN MASTER KEY (Transact-SQL) instructie.
Als u een enclave-hoofdsleutel configureert, ondertekent SSMS ook de metagegevens met behulp van de kolomhoofdsleutel.
U hebt de machtiging KOLOMHOOFDSLEUTEL WIJZIGEN databasemachtiging in de database voor het dialoogvenster nodig om een kolomhoofdsleutel te maken. U hebt ook sleutelarchiefmachtigingen nodig om toegang te krijgen tot de hoofdsleutel van de sleutelkolom en deze te gebruiken. Zie Kolomhoofdsleutels maken en opslaan voor Always Encrypted- en bekijk de sectie die relevant is voor uw sleutelarchief voor gedetailleerde informatie over sleutelarchiefmachtigingen die vereist zijn voor sleutelbeheerbewerkingen.
In het dialoogvenster Nieuwe kolomversleutelingssleutel kunt u een kolomversleutelingssleutel genereren, versleutelen met een kolomhoofdsleutel en de metagegevens van de kolomversleutelingssleutel in de database maken.
- Gebruik Objectverkennerom naar de map Security/Always Encrypted Keys onder uw database te navigeren.
- Klik met de rechtermuisknop op de map Kolomversleutelingssleutels en selecteer Nieuwe kolomversleutelingssleutel....
- Voer in het dialoogvenster Nieuwe kolomversleutelingssleutel de naam in van het metagegevensobject van de kolomversleutelingssleutel.
- Selecteer een metagegevensobject dat uw kolomhoofdsleutel in de database vertegenwoordigt.
- Klik op OK-.
Zodra u het dialoogvenster hebt voltooid, genereert SQL Server Management Studio (SSMS) een nieuwe kolomversleutelingssleutel. SSMS haalt vervolgens de metagegevens op voor de kolomhoofdsleutel die u hebt geselecteerd uit de database. SSMS gebruikt vervolgens de metagegevens van de kolomhoofdsleutel om contact op te maken met het sleutelarchief met uw kolomhoofdsleutel en de versleutelingssleutel voor kolommen te versleutelen. Ten slotte maakt SSMS de metagegevens voor de nieuwe kolomversleuteling in de database door een CREATE COLUMN ENCRYPTION KEY (Transact-SQL)-instructie te genereren en uit te geven.
Notitie
Voor het gebruik van kolomhoofdsleutels die zijn opgeslagen in een beheerde HSM- in Azure Key Vault is SSMS 18.9 of een latere versie vereist.
U hebt de ALTER ANY COLUMN ENCRYPTION KEY en VIEW ANY COLUMN MASTER KEY DEFINITION databasemachtigingen in de database voor het dialoogvenster om de metagegevens van de kolomversleutelingssleutel te maken en toegang te krijgen tot metagegevens van kolomhoofdsleutels. U hebt ook sleutelarchiefmachtigingen nodig om toegang te krijgen tot uw kolomhoofdsleutel en deze te gebruiken. Voor gedetailleerde informatie over sleutelarchiefmachtigingen die vereist zijn voor sleutelbeheerbewerkingen, gaat u naar kolomhoofdsleutels maken en opslaan voor Always Encrypted- en zoekt u een sectie die relevant is voor uw sleutelarchief.
De Wizard Always Encrypted is een hulpprogramma voor het versleutelen, ontsleutelen en opnieuw versleutelen van geselecteerde databasekolommen. Hoewel deze al geconfigureerde sleutels kan gebruiken, kunt u hiermee ook een nieuwe kolomhoofdsleutel en een nieuwe kolomversleuteling genereren.
- Kolomversleuteling configureren met de wizard Always Encrypted
- Kolomversleuteling configureren met Always Encrypted met een DAC-pakket
- Always Encrypted-sleutels roteren met SQL Server Management Studio
- Toepassingen ontwikkelen met Always Encrypted
- Gegevens migreren naar of van kolommen met de wizard Importeren en exporteren van SQL Server met Always Encrypted
- Always Encrypted
- Overzicht van sleutelbeheer voor Always Encrypted-
- kolomhoofdsleutels maken en opslaan voor Always Encrypted-
- Always Encrypted configureren met SQL Server Management Studio
- Always Encrypted-sleutels inrichten met Behulp van PowerShell
- MASTER KOLOMSLEUTEL AANMAKEN (Transact-SQL)
- KOLOMHOOFDSLEUTEL (Transact-SQL)
- CREATE COLUMN ENCRYPTION KEY (Transact-SQL)
- ALTER COLUMN ENCRYPTION KEY (Transact-SQL)
- DROP COLUMN ENCRYPTION KEY (Transact-SQL)
- sys.column_master_keys (Transact-SQL)
- sys.column_encryption_keys (Transact-SQL)
Aanvullende resources
Training
Module
Gegevens in transit en at-rest beveiligen - Training
Gegevens in transit en at-rest beveiligen
Certificering
Microsoft Certified: Azure Database Administrator Associate - Certifications
Beheer een SQL Server-databaseinfrastructuur voor cloud-, on-premises en hybride relationele databases met behulp van de relationele Microsoft PaaS-databaseaanbiedingen.
Documentatie
-
Maak kolomhoofdsleutels voor Always Encrypted & aan - SQL Server
Meer informatie over het selecteren van een sleutelarchief en het maken van kolomhoofdsleutels voor SQL Server Always Encrypted.
-
Overzicht van sleutelbeheer voor Always Encrypted - SQL Server
Meer informatie over het beheren van de twee typen cryptografische sleutels die Always Encrypted gebruikt om uw gegevens te beveiligen in SQL Server: kolomversleutelingssleutel en kolomhoofdsleutel.
-
Always Encrypted configureren met Behulp van PowerShell - SQL Server
Informatie over het importeren en gebruiken van de SqlServer PowerShell-module, die cmdlets biedt voor het configureren van Always Encrypted in zowel Azure SQL Database als SQL Server.