Obracanie funkcji ochrony funkcji Transparent Data Encryption (TDE)

Dotyczy: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics (tylko dedykowane pule SQL)

W tym artykule opisano rotację kluczy dla serwera przy użyciu funkcji ochrony TDE z usługi Azure Key Vault. Rotacja logicznej ochrony TDE dla serwera oznacza przełączenie się na nowy klucz asymetryczny, który chroni bazy danych na serwerze. Rotacja kluczy jest operacją online i powinna potrwać tylko kilka sekund, ponieważ powoduje to tylko odszyfrowywanie i ponowne szyfrowanie klucza szyfrowania danych bazy danych, a nie całej bazy danych.

W tym artykule omówiono zarówno zautomatyzowane, jak i ręczne metody rotacji funkcji ochrony TDE na serwerze.

Ważne zagadnienia dotyczące rotacji funkcji ochrony TDE

• Gdy funkcja ochrony TDE jest zmieniana/obracana, stare kopie zapasowe bazy danych, w tym pliki dziennika kopii zapasowej, nie są aktualizowane w celu korzystania z najnowszej funkcji ochrony TDE. Aby przywrócić kopię zapasową zaszyfrowaną za pomocą funkcji ochrony TDE z usługi Key Vault, upewnij się, że materiał klucza jest dostępny dla serwera docelowego. Dlatego zalecamy zachowanie wszystkich starych wersji funkcji ochrony TDE w usłudze Azure Key Vault (AKV), aby można było przywrócić kopie zapasowe bazy danych.
• Nawet w przypadku przełączania z klucza zarządzanego przez klienta na klucz zarządzany przez usługę zachowaj wszystkie wcześniej używane klucze w usłudze AKV. Dzięki temu kopie zapasowe bazy danych, w tym pliki dziennika kopii zapasowej, można przywrócić za pomocą funkcji ochrony TDE przechowywanych w usłudze AKV.
• Oprócz starych kopii zapasowych pliki dziennika transakcji mogą również wymagać dostępu do starszej funkcji ochrony TDE. Aby ustalić, czy istnieją jakiekolwiek pozostałe dzienniki, które nadal wymagają starszego klucza, po wykonaniu rotacji kluczy użyj widoku zarządzania dynamicznego (DMV) sys.dm_db_log_info . Ten dynamiczny widok zarządzania zwraca informacje o pliku dziennika wirtualnego (VLF) dziennika transakcji wraz z odciskiem palca klucza szyfrowania VLF.
• Starsze klucze muszą być przechowywane w usłudze AKV i dostępne dla serwera na podstawie okresu przechowywania kopii zapasowych skonfigurowanego jako powrót zasad przechowywania kopii zapasowych w bazie danych. Pomaga to zapewnić, że wszelkie kopie zapasowe długoterminowego przechowywania (LTR) na serwerze mogą być nadal przywracane przy użyciu starszych kluczy.

Uwaga

Przed rotacją kluczy należy wznowić wstrzymaną dedykowaną pulę SQL w usłudze Azure Synapse Analytics.

Ten artykuł dotyczy dedykowanych pul SQL Sql Database, Azure SQL Managed Instance i Azure Synapse Analytics (dawniej SQL DW). Aby uzyskać dokumentację dotyczącą przezroczystego szyfrowania danych (TDE) dla dedykowanych pul SQL w obszarach roboczych usługi Synapse, zobacz Szyfrowanie usługi Azure Synapse Analytics.

Ważne

Nie usuwaj poprzednich wersji klucza po przerzucaniu. Po przerzucaniu kluczy niektóre dane są nadal szyfrowane przy użyciu poprzednich kluczy, takich jak starsze kopie zapasowe bazy danych, pliki dziennika kopii zapasowej i pliki dziennika transakcji.

Wymagania wstępne

• W tym przewodniku z instrukcjami założono, że używasz już klucza z usługi Azure Key Vault jako funkcji ochrony TDE dla usługi Azure SQL Database lub Azure Synapse Analytics. Zobacz Transparent Data Encryption with BYOK Support (Przezroczyste szyfrowanie danych za pomocą obsługi funkcji BYOK).
• Musisz mieć zainstalowany i uruchomiony program Azure PowerShell.

Napiwek

Zalecane, ale opcjonalne — najpierw utwórz materiał klucza dla funkcji ochrony TDE w sprzętowym module zabezpieczeń (HSM) lub lokalnym magazynie kluczy i zaimportuj materiał klucza do usługi Azure Key Vault. Postępuj zgodnie z instrukcjami dotyczącymi korzystania ze sprzętowego modułu zabezpieczeń (HSM) i usługi Key Vault , aby dowiedzieć się więcej.

Portal

Przejdź do witryny Azure Portal.

Program PowerShell

Aby uzyskać instrukcje instalacji modułu Az programu PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby uzyskać informacje o określonych poleceniach cmdlet, zobacz AzureRM.Sql. Użyj nowego modułu Az programu Azure PowerShell.

Interfejs wiersza polecenia platformy Azure

Aby uzyskać informacje na temat instalacji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Automatyczne obracanie kluczy

Automatyczna rotacja funkcji ochrony TDE można włączyć podczas konfigurowania funkcji ochrony TDE dla serwera lub bazy danych w witrynie Azure Portal lub przy użyciu poniższych poleceń programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Po włączeniu serwer lub baza danych będzie stale sprawdzać magazyn kluczy pod kątem wszelkich nowych wersji klucza używanego jako funkcja ochrony TDE. Jeśli zostanie wykryta nowa wersja klucza, funkcja ochrony TDE na serwerze lub bazie danych zostanie automatycznie obracana do najnowszej wersji klucza w ciągu 24 godzin.

Automatyczna rotacja na serwerze, bazie danych lub wystąpieniu zarządzanym może być używana z automatycznym rotacją kluczy w usłudze Azure Key Vault, aby umożliwić kompleksową rotację dotykową bezobsługową dla kluczy TDE.

Uwaga

Jeśli serwer lub wystąpienie zarządzane ma skonfigurowaną replikację geograficzną, przed włączeniem automatycznej rotacji należy postępować zgodnie z poniższymi wytycznymi.

Portal

Korzystanie z witryny Azure Portal:

1. Przejdź do sekcji Transparent Data Encryption dla istniejącego serwera lub wystąpienia zarządzanego.
2. Wybierz opcję Klucz zarządzany przez klienta i wybierz magazyn kluczy i klucz, który ma być używany jako funkcja ochrony TDE.
3. Zaznacz pole wyboru Automatyczne obracanie klucza.
4. Wybierz pozycję Zapisz.

Program PowerShell

Aby uzyskać instrukcje instalacji modułu Az programu PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby uzyskać informacje o określonych poleceniach cmdlet, zobacz AzureRM.Sql.

Aby włączyć automatyczną rotację funkcji ochrony TDE przy użyciu programu PowerShell, zobacz następujący skrypt. Element <keyVaultKeyId> można pobrać z usługi Key Vault.

Azure SQL Database

Użyj polecenia Set-AzSqlServerTransparentDataEncryptionProtector.

Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled <boolean>

Wystąpienie zarządzane Azure SQL

Użyj polecenia Set-AzSqlInstanceTransparentDataEncryptionProtector.

Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName> `
    -AutoRotationEnabled <boolean>

Interfejs wiersza polecenia platformy Azure

Aby uzyskać informacje na temat instalowania bieżącej wersji interfejsu wiersza polecenia platformy Azure, zobacz Artykuł Instalowanie interfejsu wiersza polecenia platformy Azure.

Aby włączyć automatyczną rotację funkcji ochrony TDE przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz następujący skrypt.

Azure SQL Database

Użyj polecenia az sql server tde-key set.

az sql server tde-key set --server-key-type AzureKeyVault
                          --auto-rotation-enabled true
                          [--kid] <keyVaultKeyId>
                          [--resource-group] <SQLDatabaseResourceGroupName> 
                          [--server] <logicalServerName>

Wystąpienie zarządzane Azure SQL

Użyj polecenia az sql mi tde-key set.

az sql mi tde-key set --server-key-type AzureKeyVault
                      --auto-rotation-enabled true
                      [--kid] <keyVaultKeyId>
                      [--resource-group] <ManagedInstanceGroupName> 
                      [--managed-instance] <ManagedInstanceName>

Automatyczna rotacja kluczy na poziomie bazy danych

Automatyczne obracanie kluczy można również włączyć na poziomie bazy danych dla usługi Azure SQL Database. Jest to przydatne, gdy chcesz włączyć automatyczną rotację kluczy tylko dla jednego lub podzbioru baz danych na serwerze. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami i kluczami dla funkcji TDE przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych.

Portal

Aby uzyskać informacje na temat konfigurowania automatycznego obracania kluczy na poziomie bazy danych, zobacz Aktualizowanie istniejącej bazy danych Azure SQL Database przy użyciu kluczy zarządzanych przez klienta na poziomie bazy danych.

Program PowerShell

Aby włączyć automatyczną rotację funkcji ochrony TDE na poziomie bazy danych przy użyciu programu PowerShell, zobacz następujące polecenie. Użyj parametru -EncryptionProtectorAutoRotation i ustaw wartość , aby $true włączyć automatyczną rotację kluczy lub $false wyłączyć automatyczną rotację kluczy.

Set-AzSqlDatabase -ResourceGroupName <resource_group_name> -ServerName <server_name> -DatabaseName <database_name> -EncryptionProtectorAutoRotation:$true

Interfejs wiersza polecenia platformy Azure

Aby włączyć automatyczną rotację funkcji ochrony TDE na poziomie bazy danych przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz następujące polecenie. Użyj parametru --encryption-protector-auto-rotation i ustaw wartość , aby True włączyć automatyczną rotację kluczy lub False wyłączyć automatyczną rotację kluczy.

az sql db update --resource-group <resource_group_name> --server <server_name> --name <database_name> --encryption-protector-auto-rotation True

Automatyczne obracanie kluczy dla konfiguracji replikacji geograficznej

W konfiguracji replikacji geograficznej usługi Azure SQL Database, w której serwer podstawowy ma używać funkcji TDE z kluczem CMK, należy również skonfigurować serwer pomocniczy w celu włączenia funkcji TDE z kluczem CMK z tym samym kluczem używanym na serwerze podstawowym.

Portal

Korzystanie z witryny Azure Portal:

1. Przejdź do sekcji Transparent Data Encryption dla serwera podstawowego.

2. Wybierz opcję Klucz zarządzany przez klienta i wybierz magazyn kluczy i klucz, który ma być używany jako funkcja ochrony TDE.

3. Zaznacz pole wyboru Automatyczne obracanie klucza.

4. Wybierz pozycję Zapisz.

   

5. Przejdź do sekcji Transparent Data Encryption dla serwera pomocniczego.

6. Wybierz opcję Klucz zarządzany przez klienta i wybierz magazyn kluczy i klucz, który ma być używany jako funkcja ochrony TDE. Użyj tego samego klucza, który był używany dla serwera podstawowego.

7. Usuń zaznaczenie pola wyboru Ustaw ten klucz jako domyślną funkcję ochrony TDE.

8. Wybierz pozycję Zapisz.

   

Gdy klucz jest obracany na serwerze podstawowym, jest on automatycznie przesyłany do serwera pomocniczego.

Program PowerShell

Element <keyVaultKeyId> można pobrać z usługi Key Vault.

1. Użyj polecenia Add-AzSqlServerKeyVaultKey, aby dodać nowy klucz do serwera pomocniczego.

   # add the key from Key Vault to the secondary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

2. Dodaj ten sam klucz w pierwszym kroku do serwera podstawowego.

   # add the key from Key Vault to the primary server
   Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
   

3. Użyj polecenia Set-AzSqlInstanceTransparentDataEncryptionProtector , aby ustawić klucz jako podstawową funkcję ochrony na serwerze podstawowym z automatycznym obracaniem klucza ustawionym na truewartość .

   Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
    -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName> `
    -AutoRotationEnabled $true
   

4. Obracanie klucza magazynu kluczy w usłudze Key Vault przy użyciu polecenia Get-AzKeyVaultKey i Set-AzKeyVaultKeyRotationPolicy.

   Get-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> | Set-AzKeyVaultKeyRotationPolicy -KeyRotationLifetimeAction @{Action = "Rotate"; TimeBeforeExpiry = "P18M"} 
   

5. Sprawdź, czy program SQL Server (podstawowy i pomocniczy) ma nowy klucz lub wersję klucza:

   Uwaga

   Rotacja kluczy może potrwać do godziny, aby można było zastosować go do serwera. Poczekaj co najmniej godzinę przed wykonaniem tego polecenia.

   Get-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

Użyj różnych kluczy dla każdego serwera

Istnieje możliwość skonfigurowania serwerów podstawowych i pomocniczych przy użyciu innego klucza magazynu kluczy podczas konfigurowania funkcji TDE przy użyciu klucza zarządzanego przez klienta w witrynie Azure Portal. Nie jest oczywiste w witrynie Azure Portal, że klucz używany do ochrony serwera podstawowego jest również tym samym kluczem, który chroni podstawową bazę danych, która została zreplikowana na serwer pomocniczy. Można jednak użyć programu PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsów API REST, aby uzyskać szczegółowe informacje o kluczach używanych na serwerze. Pokazuje to, że automatycznie obracane klucze są przenoszone z serwera podstawowego do serwera pomocniczego.

Oto przykład użycia poleceń programu PowerShell do sprawdzania kluczy przesyłanych z serwera podstawowego do serwera pomocniczego po rotacji kluczy.

1. Wykonaj następujące polecenie na serwerze podstawowym, aby wyświetlić kluczowe szczegóły serwera:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

2. Powinny zostać wyświetlone wyniki podobne do następujących:

   ResourceGroupName : <SQLDatabaseResourceGroupName> 
   ServerName        : <logicalServerName> 
   ServerKeyName     : <keyVaultKeyName> 
   Type              : AzureKeyVault 
   Uri               : https://<keyvaultname>.vault.azure.net/keys/<keyName>/<GUID> 
   Thumbprint        : <thumbprint> 
   CreationDate      : 12/13/2022 8:56:32 PM
   

3. Wykonaj to samo Get-AzSqlServerKeyVaultKey polecenie na serwerze pomocniczym:

   Get-AzSqlServerKeyVaultKey -ServerName <logicalServerName> -ResourceGroupName <SQLDatabaseResourceGroupName> 
   

4. Jeśli serwer pomocniczy ma domyślną funkcję ochrony TDE przy użyciu innego klucza niż serwer podstawowy, powinny zostać wyświetlone dwa (lub więcej) kluczy. Pierwszym kluczem jest domyślna funkcja ochrony TDE, a drugi klucz jest kluczem używanym na serwerze podstawowym używanym do ochrony replikowanej bazy danych.

5. Gdy klucz jest obracany na serwerze podstawowym, jest on automatycznie przesyłany do serwera pomocniczego. W przypadku ponownego Get-AzSqlServerKeyVaultKey uruchomienia polecenia na serwerze podstawowym powinny zostać wyświetlone dwa klucze. Pierwszy klucz to oryginalny klucz, a drugi klucz, który jest bieżącym kluczem, który został wygenerowany w ramach rotacji kluczy.

6. Get-AzSqlServerKeyVaultKey Uruchomienie polecenia na serwerze pomocniczym powinno również zawierać te same klucze, które znajdują się na serwerze podstawowym. Potwierdza to, że obracane klucze na serwerze podstawowym są automatycznie przenoszone na serwer pomocniczy i używane do ochrony repliki bazy danych.

Ręczne obracanie kluczy

Ręczne obracanie kluczy używa następujących poleceń, aby dodać nowy klucz, który może być pod nową nazwą klucza, a nawet innym magazynem kluczy. Użycie tego podejścia umożliwia dodanie tego samego klucza do różnych magazynów kluczy w celu obsługi scenariuszy wysokiej dostępności i odzyskiwania geograficznego. Ręczne obracanie kluczy można również wykonać przy użyciu witryny Azure Portal.

W przypadku ręcznego obracania kluczy, gdy nowa wersja klucza jest generowana w magazynie kluczy (ręcznie lub za pośrednictwem zasad automatycznego rotacji kluczy w magazynie kluczy), należy ręcznie ustawić tę samą funkcję jako funkcję ochrony TDE na serwerze.

Uwaga

Łączna długość nazwy magazynu kluczy i nazwy klucza nie może przekraczać 94 znaków.

Portal

Przy użyciu witryny Azure Portal:

1. Przejdź do menu Transparent Data Encryption dla istniejącego serwera lub wystąpienia zarządzanego.
2. Wybierz opcję Klucz zarządzany przez klienta i wybierz magazyn kluczy i klucz, który ma być używany jako nowa funkcja ochrony TDE.
3. Wybierz pozycję Zapisz.

Program PowerShell

Użyj polecenia Add-AzKeyVaultKey, aby dodać nowy klucz do magazynu kluczy.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

W przypadku usługi Azure SQL Database użyj:

• Add-AzSqlServerKeyVaultKey
• Set-AzSqlServerTransparentDataEncryptionProtector

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

W przypadku usługi Azure SQL Managed Instance użyj:

• Add-AzSqlInstanceKeyVaultKey
• Set-AzSqlInstanceTransparentDataEncryptionProtector

# add the new key from Key Vault to the managed instance
Add-AzSqlInstanceKeyVaultKey -KeyId <keyVaultKeyId> -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  
# set the key as the TDE protector for all resources under the managed instance
Set-AzSqlInstanceTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az keyvault key create, aby dodać nowy klucz do magazynu kluczy.

# add a new key to Key Vault
az keyvault key create --name <keyVaultKeyName> --vault-name <keyVaultName> --protection <hsmOrSoftware>

W przypadku usługi Azure SQL Database użyj:

• az sql server key create
• az sql server tde-key set

# add the new key from Key Vault to the server
az sql server key create --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

# set the key as the TDE protector for all resources under the server
az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>

W przypadku usługi Azure SQL Managed Instance użyj:

• az sql mi key create
• az sql mi tde-key set

# add the new key from Key Vault to the managed instance
az sql mi key create --kid <keyVaultKeyId> --resource-group <Managed InstanceResourceGroupName> --managed-instance <ManagedInstanceName>

# set the key as the TDE protector for all resources under the managed instance
az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>

Przełączanie trybu ochrony TDE

Portal

Za pomocą witryny Azure Portal przełącz funkcję ochrony TDE z zarządzanej przez firmę Microsoft do trybu BYOK:

1. Przejdź do menu Transparent Data Encryption dla istniejącego serwera lub wystąpienia zarządzanego.
2. Wybierz opcję Klucz zarządzany przez klienta.
3. Wybierz magazyn kluczy i klucz, który ma być używany jako funkcja ochrony TDE.
4. Wybierz pozycję Zapisz.

Program PowerShell

Azure SQL Database

• Aby przełączyć funkcję ochrony TDE z zarządzanej przez firmę Microsoft do trybu BYOK, użyj polecenia Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

• Aby przełączyć funkcję ochrony TDE z trybu BYOK na zarządzaną przez firmę Microsoft, użyj polecenia Set-AzSqlServerTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  

Wystąpienie zarządzane Azure SQL

• Aby przełączyć funkcję ochrony TDE z zarządzanej przez firmę Microsoft do trybu BYOK, użyj polecenia Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault `
       -KeyId <keyVaultKeyId> <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>
  

• Aby przełączyć funkcję ochrony TDE z trybu BYOK na zarządzaną przez firmę Microsoft, użyj polecenia Set-AzSqlInstanceTransparentDataEncryptionProtector .

  Set-AzSqlServerTransparentDataEncryptionProtector -Type ServiceManaged `
       -InstanceName <ManagedInstanceName> -ResourceGroup <ManagedInstanceResourceGroupName>e>
  

Interfejs wiersza polecenia platformy Azure

Azure SQL Database

W poniższych przykładach użyto polecenia az sql server tde-key set.

• Aby przełączyć funkcję ochrony TDE z zarządzanej przez firmę Microsoft na tryb BYOK:

  az sql server tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

• Aby przełączyć funkcję ochrony TDE z trybu BYOK na zarządzaną przez firmę Microsoft:

  az sql server tde-key set --server-key-type ServiceManaged --resource-group <SQLDatabaseResourceGroupName> --server <logicalServerName>
  

Wystąpienie zarządzane Azure SQL

W poniższych przykładach użyto polecenia az sql mi tde-key set.

• Aby przełączyć funkcję ochrony TDE z zarządzanej przez firmę Microsoft na tryb BYOK:

  az sql mi tde-key set --server-key-type AzureKeyVault --kid <keyVaultKeyId> --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

• Aby przełączyć funkcję ochrony TDE z trybu BYOK na zarządzaną przez firmę Microsoft:

  az sql mi tde-key set --server-key-type ServiceManaged --resource-group <ManagedInstanceResourceGroupName> --managed-instance <ManagedInstanceName>
  

Powiązana zawartość

• Jeśli istnieje zagrożenie bezpieczeństwa, dowiedz się, jak usunąć potencjalnie naruszoną ochronę TDE: usuwanie potencjalnie naruszonego klucza.

• Rozpocznij pracę z integracją usługi Azure Key Vault i obsługą funkcji Bring Your Own Key dla funkcji TDE: włączanie funkcji TDE przy użyciu własnego klucza z usługi Key Vault przy użyciu programu PowerShell.