Ustawienie poziomu ochrony pakietów
Aby chronić dane w Integration Services pakiet, zestaw poziom ochrony, który chroni tylko dane poufne lub wszystkich danych w pakiecie.Ponadto można szyfrować dane z hasła lub klucz użytkownika lub polegać na bazie do szyfrowania danych.Ponadto poziom ochrony, używanego do pakiet nie jest koniecznie statyczne, ale zmiany przez cały cykl pakiet.Często zestaw poziom ochrony jednego podczas rozwoju i innego natychmiast wdrożyć pakiet.
Ostrzeżenie
In addition to the protection levels described in this topic, packages that are saved to the msdb database can also be protected by using the fixed database-level roles.Integration Services includes three fixed database-level roles for assigning permissions to packages: db_ssisadmin, db_ssisltduser, and db_ssisoperator.Aby uzyskać więcej informacji, zobacz Przy użyciu integracji usług ról.
Definiowanie informacji poufnych
W Integration Services pakiet, następujące informacje jest zdefiniowana jako poufnych:
Hasło częścią połączenia ciąg.Jednakże, jeśli zostanie wybrana opcja, szyfruje wszystko całego połączenia ciąg będą uważane za poufne.
Wygenerowane zadania XML węzłów, które są oznakowane jako wrażliwe.Znakowanie węzłów XML jest kontrolowana przez Integration Services i nie przez zmieniane przez użytkowników.
Zmienna, który jest oznaczony jako poufne.Oznakowanie zmiennych jest kontrolowana przez Integration Services.
Czy Integration Services uważa za wrażliwe właściwość zależy, czy deweloper Integration Services składnika menedżer połączeń lub zadanie zostało wyznaczone właściwość jako wrażliwe.Użytkownicy nie mogą dodawać właściwości ani nie można ich usunąć właściwości z listy właściwości, które są uważane za poufne.
Przy użyciu szyfrowania
Szyfrowanie, wykorzystywane przez pakiet poziomów ochrony, jest przeprowadzane przy użyciu Microsoft danych ochrony API (DPAPI), który jest częścią kryptografii API (CryptoAPI).
Poziomy ochrony pakiet szyfrowania pakietów przy użyciu hasła wymagają także podać hasło.Jeśli zmienisz poziom ochrony z poziomu, który nie używa hasła do jednego, który pojawi się monit o podanie hasła.
Ponadto dla poziomów ochrony, które za pomocą hasła Integration Services wykorzystuje algorytm szyfrowania Triple DES o długości klucz 192 bitów w .NET Framework klasy biblioteki (FCL).
Opis poziomów ochrony
W poniższej tabela opisano ochrony poziomu Integration Services zapewnia.Wartości w nawiasach są wartości z DTSProtectionLevel wyliczania.Te wartości są wyświetlane w oknie właściwości, które służy do konfigurowania właściwości pakiet, podczas pracy z pakietów w Business Intelligence Development Studio.
Poziom ochrony |
Opis |
---|---|
Nie zapisuj wrażliwe (DontSaveSensitive) |
Pomija wartości wrażliwych właściwości pakiet, podczas zapisywania pakiet.Ten poziom ochrony nie szyfruje, ale zamiast uniemożliwia właściwości, które są oznaczone jako poufne zapisywania pakiet i dlatego powoduje, że dane poufne dostępne dla innych użytkowników.Jeśli inny użytkownik otworzy pakiet, poufnych informacji jest zastępowany puste i użytkownik musi podać poufnych informacji. Gdy używana z dtutil (dtutil.exe), narzędzie to poziom ochrony odpowiada wartość 0. |
Szyfrowanie wszystkich hasłem (EncryptAllWithPassword) |
Używa hasła do zaszyfrowania całego pakiet.Pakiet jest zaszyfrowany przy użyciu hasła, dostarczający użytkownika podczas tworzenia pakietu lub wywożone.Aby otworzyć pakiet w SSIS Projektant lub uruchom pakiet przy użyciu dtexec , narzędzie wiersz polecenia użytkownik musi podać hasło pakietu.Użytkownik nie może bez hasła dostępu lub uruchom pakiet. Gdy używana z dtutil , narzędzie to poziom ochrony odpowiada wartości 3. |
Szyfrowanie wszystkich z użytkownikiem klucz (EncryptAllWithUserKey) |
Używa klucz, który jest oparty na bieżący profil użytkownika, aby zaszyfrować cały pakiet.Tylko użytkownik, który utworzony lub wywożonych pakietu można otworzyć pakiet w SSIS Projektant lub uruchom pakiet za pomocą dtexec narzędzie wiersz polecenia. Gdy używana z dtutil , narzędzie to poziom ochrony odpowiada wartości 4.
Uwaga:
Dla poziomów ochrony, które używają klucz użytkownika Integration Services wykorzystuje standardy DPAPI.Aby uzyskać więcej informacji na temat funkcji DPAPI Zobacz biblioteki MSDN pod https://msdn.microsoft.com/library/.
|
Szyfruj poufne hasło (EncryptSensitiveWithPassword) |
Używa hasła, aby zaszyfrować tylko wartości wrażliwych właściwości pakiet.DPAPI jest używany do szyfrowanie.Poufne dane zostaje zapisany jako część pakiet, ale dane są szyfrowane przy użyciu hasła, dostarczający bieżącego użytkownika podczas tworzenia pakiet lub wywożone.Aby otworzyć pakiet w SSIS Projektant, użytkownik musi podać hasło pakietu.Jeśli hasło nie zostanie podana, pakiet zostanie otwarty bez dane poufne i bieżącego użytkownika należy podać nowe wartości dane poufne.Jeśli użytkownik spróbuje uruchomić pakiet bez podawania hasła, pakiet wykonać kończy się niepowodzeniem.Aby uzyskać więcej informacji o hasłach i wykonywania wiersza polecenia, zobacz dtexec narzędzia (narzędzie SSIS). Gdy używana z dtutil , narzędzie to poziom ochrony odpowiada wartości 2. |
Szyfruj poufne z klucz użytkownika (EncryptSensitiveWithUserKey) |
Używa klucz, który jest oparty na bieżący profil użytkownika, aby zaszyfrować tylko wartości wrażliwych właściwości pakiet.Tylko ten sam użytkownik, który używa tego samego profilu można załadować pakiet.Jeśli inny użytkownik otworzy pakiet, poufnych informacji jest zastępowany puste i bieżącego użytkownika należy podać nowe wartości dane poufne.Jeśli użytkownik próbuje uruchomić pakiet, pakiet wykonać kończy się niepowodzeniem.DPAPI jest używany do szyfrowanie. Gdy używana z dtutil , narzędzie to poziom ochrony odpowiada wartości 1.
Uwaga:
Dla poziomów ochrony, które używają klucz użytkownika Integration Services wykorzystuje standardy DPAPI.Aby uzyskać więcej informacji na temat funkcji DPAPI Zobacz biblioteki MSDN pod https://msdn.microsoft.com/library/.
|
Zależne od magazynu serwera do szyfrowanie (ServerStorage) |
Chroni całego pakiet za pomocą SQL Server role bazy danych.This option is supported only when a package is saved to the SQL Server msdb database.Nie jest obsługiwany przy zapisywaniu do systemu plików z pakiet Business Intelligence Development Studio. |
Zmiana poziomu ochrony, oparte na cyklu życia pakietu
You set the protection level of a SQL Server Integration Services package when you first develop it in Business Intelligence Development Studio.Później, gdy jest rozmieszczany pakiet przywożonych lub wywożonych z Integration Services w SQL Server Management Studio, lub skopiowane z Business Intelligence Development Studio do SQL Server, SSIS pakiet magazynu lub systemu plików można zaktualizować poziom ochrony pakiet.Na przykład jeśli utworzyć i zapisać pakietów na komputerze z jedną z opcji poziomu ochrony klucz użytkownika, prawdopodobnie należy zmienić poziom ochrony pakiet przekazać innym użytkownikom; w przeciwnym razie nie można otworzyć tego pakiet.
Zazwyczaj zmiana poziom ochrony, wymienione w poniższych krokach:
Podczas rozwoju, pozostaw poziom ochrony pakietów zestaw na wartość domyślną EncryptSensitiveWithUserKey.To ustawienie pomaga zapewnić, że tylko developer widzi wrażliwych wartości w pakiet.Lub można rozważyć użycie EncryptAllWithUserKey, lub DontSaveSensitive.
Kiedy nadszedł czas na wdrożyć pakietów, trzeba zmienić poziom ochrony, który nie zależy od dewelopera klucz użytkownika.Dlatego też zwykle należy wybrać EncryptSensitiveWithPassword, lub EncryptAllWithPassword.Szyfrowanie pakietów przez przypisywanie czasowego silne hasło, które jest również znane zespołu operacji w środowisku produkcyjnym.
Po pakiety rozmieszczone w środowisku produkcyjnym, zespołu operacji można ponownie zaszyfrować wdrożonym pakietów przez przypisanie silnego hasła, który jest znany tylko do nich.Lub ich szyfrowania pakietów wdrożonym wybierając EncryptSensitiveWithUserKey lub EncryptAllWithUserKeyi przy użyciu poświadczenia lokalnego konta, które będą uruchamiane pakietów.
|