Włączanie funkcji Always Encrypted z bezpiecznymi enklawami w usłudze Azure SQL Database

Dotyczy: Azure SQL Database

W usłudze Azure SQL Database funkcja Always Encrypted z bezpiecznymi enklawami może używać enklaw funkcji Intel Software Guard Extensions (Intel SGX) lub enklaw zabezpieczeń opartych na wirtualizacji (VBS). Aby uzyskać więcej informacji, zobacz Planowanie bezpiecznych enklaw w usłudze Azure SQL Database.

Enklawy Intel SGX

Aby procesor Intel SGX był dostępny, baza danych musi używać modelu rdzeni wirtualnych i sprzętu serii DC.

Konfigurowanie sprzętu z serii DC w celu włączenia enklaw Intel SGX jest obowiązkiem administratora usługi Azure SQL Database. Aby uzyskać więcej informacji, zobacz Role i obowiązki podczas konfigurowania enklaw Intel SGX i zaświadczania.

Uwaga

Intel SGX nie jest dostępny w konfiguracjach sprzętowych innych niż seria DC. Na przykład intel SGX nie jest dostępny dla sprzętu serii standardowej (Gen5) i nie jest dostępny dla baz danych przy użyciu modelu DTU.

Ważne

Przed skonfigurowaniem sprzętu serii DC dla bazy danych sprawdź regionalną dostępność serii DC i upewnij się, że rozumiesz jej ograniczenia wydajności. Aby uzyskać więcej informacji, zobacz Seria DC.

Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania nowej lub istniejącej bazy danych pod kątem używania określonej konfiguracji sprzętowej, zobacz Konfiguracja sprzętu.

Aby uzyskać więcej informacji, zobacz Konfigurowanie zaświadczania platformy Azure dla serwera usługi Azure SQL Database.

Enklawy VBS

Domyślnie nowa baza danych jest tworzona bez enklaw VBS. Aby włączyć enklawę VBS w bazie danych lub elastycznej puli, należy ustawić właściwość preferowanej bazy danychEnclaveType na VBS, która aktywuje enklawę VBS dla bazy danych lub elastycznej puli. Preferowany typ Enklawy można ustawić podczas tworzenia nowej bazy danych lub elastycznej puli albo przez zaktualizowanie istniejącej bazy danych lub elastycznej puli. Każda baza danych dodana do elastycznej puli dziedziczy z niej właściwość enklawy, podobnie jak cel slo bazy danych. W związku z tym, jeśli dodasz bazę danych bez enklaw VBS włączonej elastycznej puli z włączonym językiem VBS, ta nowa baza danych stanie się częścią elastycznej puli, a enklawy VBS zostaną włączone w tej bazie danych. Dodawanie bazy danych z enklawami VBS włączonymi do elastycznej puli bez enklaw VBS nie jest obsługiwane.

Można ustawić preferowaną właściwośćEnclaveType przy użyciu witryny Azure Portal, programu SQL Server Management Studio, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Włączanie enklaw VBS przy użyciu witryny Azure Portal

Tworzenie nowej bazy danych lub elastycznej puli z enklawą VBS

1. Otwórz witrynę Azure Portal i znajdź logiczny program SQL Server, dla którego chcesz utworzyć bazę danych lub pulę elastyczną z enklawą VBS.

2. Wybierz pozycję Utwórz bazę danych lub przycisk Nowa elastyczna pula .

3. Na karcie Zabezpieczenia znajdź sekcję Always Encrypted .

4. Ustaw opcję Włącz bezpieczne enklawy na WŁ. Spowoduje to utworzenie bazy danych z włączoną enklawą VBS.

   

Włączanie enklawy VBS dla istniejącej bazy danych lub elastycznej puli

1. Otwórz witrynę Azure Portal i znajdź bazę danych lub elastyczną pulę, dla której chcesz włączyć bezpieczne enklawy.

2. Dla istniejącej bazy danych:

   1. W obszarze Ustawienia zabezpieczeń wybierz pozycję Szyfrowanie danych.

   2. W menu Szyfrowanie danych wybierz kartę Always Encrypted.

   3. Ustaw opcję Włącz bezpieczne enklawy na WŁ.

      

   4. Wybierz pozycję Zapisz , aby zapisać konfigurację funkcji Always Encrypted.

3. W przypadku istniejącej elastycznej puli:

   1. W obszarze Ustawienia wybierz pozycję Konfiguracja.

   2. W menu Konfiguracja wybierz kartę Always Encrypted.

   3. Ustaw opcję Włącz bezpieczne enklawy na WŁ.

      

   4. Wybierz pozycję Zapisz , aby zapisać konfigurację funkcji Always Encrypted.

Włączanie enklaw VBS przy użyciu programu SQL Server Management Studio

Pobierz najnowszą wersję programu SQL Server Management Studio (SSMS).

Tworzenie nowej bazy danych z enklawą VBS

1. Otwórz program SSMS i połącz się z serwerem logicznym, na którym chcesz utworzyć bazę danych.
2. Kliknij prawym przyciskiem myszy folder Bazy danych i wybierz pozycję Nowa baza danych...
3. Na stronie Konfigurowanie celu slo ustaw opcję Włącz bezpieczne enklawy na WŁ. Spowoduje to utworzenie bazy danych z włączoną enklawą VBS.

Włączanie enklawy VBS dla istniejącej bazy danych

1. Otwórz program SSMS i połącz się z serwerem logicznym, na którym chcesz zmodyfikować bazę danych.
2. Kliknij prawym przyciskiem myszy bazę danych i wybierz polecenie Właściwości.
3. Na stronie Konfigurowanie celu slo ustaw opcję Włącz bezpieczne enklawy na WŁ.
4. Wybierz przycisk OK , aby zapisać właściwości bazy danych.

Włączanie enklaw VBS przy użyciu programu Azure PowerShell

Tworzenie nowej bazy danych lub elastycznej puli z enklawą VBS

Utwórz nową bazę danych z enklawą VBS za pomocą polecenia cmdlet New-AzSqlDatabase . Poniższy przykład tworzy bezserwerową bazę danych z enklawą VBS.

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

Utwórz nową elastyczną pulę z enklawą VBS za pomocą polecenia cmdlet New-AzSqlElasticPool . Poniższy przykład tworzy elastyczną pulę z enklawą VBS.

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

Włączanie enklawy VBS dla istniejącej bazy danych lub elastycznej puli

Aby włączyć enklawę VBS dla istniejącej bazy danych, użyj polecenia cmdlet Set-AzSqlDatabase . Oto przykład:

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

Aby włączyć enklawę VBS dla istniejącej elastycznej puli, użyj polecenia cmdlet Set-AzSqlElasticPool . Oto przykład:

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

Włączanie enklaw VBS przy użyciu interfejsu wiersza polecenia platformy Azure

Tworzenie nowej bazy danych lub elastycznej puli z enklawą VBS

Utwórz nową bazę danych z enklawą VBS za pomocą polecenia cmdlet az sql db create . Poniższy przykład tworzy bezserwerową bazę danych z enklawą VBS.

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

Utwórz nową pulę elastyczną z enklawą VBS za pomocą polecenia cmdlet az sql elastic-pool create . Poniższy przykład tworzy bezserwerową bazę danych z enklawą VBS.

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

Włączanie enklawy VBS dla istniejącej bazy danych lub elastycznej puli

Aby włączyć enklawę VBS dla istniejącej bazy danych, użyj polecenia cmdlet az sql db update . Oto przykład:

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

Aby włączyć enklawę VBS dla istniejącej elastycznej puli, użyj polecenia cmdlet az sql elastic-pool update . Oto przykład:

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

Zobacz też

• Wprowadzenie do korzystania z funkcji Always Encrypted z bezpiecznymi enklawami