Setting the Protection Level of Packages
Aby zabezpieczyć dane w Integration Services pakiet, zestaw poziom ochrony, która pomaga chronić tylko dane poufne lub wszystkie dane w pakiecie. Ponadto można szyfrować dane z hasła lub klucz użytkownika lub polegać na bazie danych do szyfrowania danych.Ponadto poziom ochrony, służące do pakiet nie jest musi być statyczna, ale zmiany w całej trwania cyklu pakiet.Są często ustawiane jednego ochrony poziom w rozwoju i innego tak szybko, jak wdrożyć pakiet.
Uwaga
In addition to the protection levels described in this topic, packages that are saved to the msdb database can also be protected by using the fixed database-level roles.Integration Services includes three fixed database-level roles for assigning permissions to packages: db_ssisadmin db_ssisltduser i db_ssisoperator. Aby uzyskać więcej informacji zobaczUsing Integration Services Roles.
Definiowanie informacje poufne
W Integration Services pakiet, następujące informacje jest zdefiniowany jako wielkość liter:
Hasło część ciąg połączenia.Jednak jeśli zaznaczona jest opcja, która szyfruje wszystkie elementy, ciąg połączenia całego uznaje się wielkość liter.
Zadania generowane przez XML węzłów, które są oznakowane jako poufnych.Znakowanie węzłów XML jest kontrolowana przez Integration Services a nie przez zmieniane przez użytkowników.
Zmienna, oznaczony jako poufne.Oznakowanie zmiennych jest kontrolowana przez Integration Services.
Czy Integration Services uważa wrażliwe właściwości zależy od tego, czy deweloper Integration Services składnik, taki jak Menedżer połączeń lub zadanie, ma wyznaczone właściwość poufnych. Użytkownicy nie mogą dodawać właściwości do, ani nie można ich usunąć właściwości z listy właściwości, które są traktowane jako poufne.
Za pomocą szyfrowanie
Szyfrowanie, używanej przez pakiet poziomy zabezpieczeń, jest wykonywane przy użyciu Microsoft Dane Protection API (DPAPI), który jest częścią Kryptografia interfejs API (CryptoAPI).
Poziomy ochrony pakiet szyfrowania pakietów przy użyciu hasła wymagają także podać hasło.Zmiana poziom ochrony z poziom, które nie są używane jest hasło do jednego, pojawi się monit o hasło.
Ponadto dla poziomy zabezpieczeń, które używają hasła, Integration Services korzysta z klucz o długości 192 bitów w algorytm szyfrowania Triple DES .NET Framework Biblioteka klas (FCL).
Opis poziomów ochrony
W poniższej tabela opisano ochrony poziomy, które Integration Services zawiera. Wartości w nawiasach są wartości z DTSProtectionLevel Wyliczanie. Te wartości pojawiają się w oknie dialogowym właściwości, które umożliwia konfigurowanie właściwości pakiet, podczas pracy z pakietami w Business Intelligence Development Studio.
Poziom ochrony |
Description |
---|---|
Nie zapisuj (wielkość literDontSaveSensitive) |
Pomija wartości wrażliwe właściwości w pakiecie, podczas zapisywania pakiet.Ten poziom ochrony nie szyfruje, ale zamiast niego zapobiega właściwości, które są oznaczone jako poufne z są zapisywane razem z pakiet i powoduje, w związku z tym że dane poufne jest niedostępny dla innych użytkowników.Jeśli inny użytkownik otworzy pakiet, poufne informacje jest zastępowany przez puste miejsca, a użytkownik musi podać poufne informacje. W przypadku użycia z dtutil , narzędzie (dtutil.exe) ten poziom ochrony odpowiada wartość 0. |
Szyfruj wszystko za pomocą hasła)EncryptAllWithPassword) |
Używa hasła do zaszyfrowania całego pakiet.Pakiet jest zaszyfrowany przy użyciu hasła, które użytkownik podaje podczas tworzenia lub eksportować do pakietu.Aby otworzyć pakiet w SSIS Projektant lub uruchomienia pakietu przy użyciu dtexec , narzędzie wiersz polecenia użytkownik musi podać hasło pakietu.Bez podania hasła użytkownika nie można uzyskać dostęp lub uruchomić pakiet. W przypadku użycia z dtutil , narzędzie to poziom ochrony odpowiada wartości 3. |
Szyfrowanie wszystkich z (klucz) użytkownikaEncryptAllWithUserKey) |
Używa klucz, który jest oparty na bieżącego profilu użytkownika, aby zaszyfrować cały pakiet.Tylko użytkownik, który utworzył lub wyeksportować pakiet można otworzyć pakietu w SSIS Projektant lub uruchomienia pakietu przy użyciu dtexec narzędzie wiersz polecenia. W przypadku użycia z dtutil , narzędzie to poziom ochrony odpowiada wartości 4.
Note:
Poziomy ochrony, korzystające z kluczem użytkownika Integration Services używa standardów DPAPI. Aby uzyskać więcej informacji na temat DPAPI Zobacz Biblioteka MSDN Library w https://msdn.Microsoft.com/library.
|
Szyfrowania poufnych o hasło)EncryptSensitiveWithPassword) |
Używa hasła, aby zaszyfrować tylko wartości wrażliwe właściwości w pakiet.DPAPI jest używany do szyfrowanie.dane poufne są zapisywane jako część pakiet, jednak, że dane są szyfrowane przy użyciu hasła, które dostarcza bieżącego użytkownika podczas tworzenia lub eksportować do pakiet.Aby otworzyć pakiet w SSIS Projektanta, użytkownik musi podać hasło pakietu. Jeśli hasło nie zostanie podana, pakiet zostanie otwarty bez dane poufne, a bieżący użytkownik musi podać nowe wartości dla dane poufne.Jeśli użytkownik spróbuje uruchomić pakiet bez podania hasła, pakiet wykonać kończy się niepowodzeniem.Aby uzyskać więcej informacji na temat hasła i wykonywania wiersza polecenia Zobacz Narzędzie dtexec. W przypadku użycia z dtutil , narzędzie to poziom ochrony odpowiada wartości 2. |
Szyfrować wrażliwe z (klucz) użytkownikaEncryptSensitiveWithUserKey) |
Używa klucz, który jest oparty na bieżącego profilu użytkownika, aby zaszyfrować tylko wartości wrażliwe właściwości w pakiet.Tylko ten sam użytkownik, który używa tego samego profilu można załadować pakiet.Jeśli inny użytkownik otworzy pakiet, poufne informacje jest zastępowany przez puste miejsca, a bieżący użytkownik musi podać nowe wartości dla dane poufne.Jeśli użytkownik próbuje uruchomić pakiet, pakiet wykonać kończy się niepowodzeniem.DPAPI jest używany do szyfrowanie. W przypadku użycia z dtutil , narzędzie to poziom ochrony odpowiada wartości 1.
Note:
Poziomy ochrony, korzystające z kluczem użytkownika Integration Services używa standardów DPAPI. Aby uzyskać więcej informacji na temat DPAPI Zobacz Biblioteka MSDN Library w https://msdn.Microsoft.com/library.
|
Serwer magazynu (szyfrowanie jest zależne odServerStorage) |
Chroni całego pakiet przy użyciu SQL Server role bazy danych. Ta opcja jest obsługiwana tylko wtedy, gdy pakiet zostanie zapisana w SQL Server bazy danych msdb. Nie jest obsługiwane przy zapisywaniu w systemie plików z pakiet Business Intelligence Development Studio. |
Zmiana poziom ochrony opartych na pakiet cyklu
You set the protection level of a SQL Server Integration Services package when you first develop it in Business Intelligence Development Studio.Później, gdy jest rozmieszczany pakiet importowany lub eksportowany z Integration Services w SQL Server Management Studio, lub skopiowane z Business Intelligence Development Studio Aby SQL Server, SSIS Magazyn pakiet lub system plików, można zaktualizować pakiet poziom ochrony. Na przykład jeśli utworzysz i zapiszesz pakietów na komputerze z jedną z opcji poziomu ochrony klucz użytkownika, prawdopodobnie należy zmienić poziom ochrony podczas przekazać pakiet do innych użytkowników; w przeciwnym razie nie można otworzyć tego pakietu.
Zazwyczaj to zmienić poziom ochrony, wymienionych w poniższych krokach:
Podczas rozwoju pozostaw poziom ochrony pakietów ustawiony na wartość domyślną EncryptSensitiveWithUserKey. To ustawienie pomaga zapewnić, że tylko twórca widzi ważnych wartości pakiet.Lub, można rozważyć użycie EncryptAllWithUserKey, lub DontSaveSensitive.
Gdy jest to czas wdrożyć pakietów, należy zmienić poziom ochrony, który nie zależy od klucz użytkownika dla deweloperów.Dlatego też zwykle należy wybrać EncryptSensitiveWithPassword, lub EncryptAllWithPassword. Szyfrowanie pakietów przez przypisanie tymczasowe silnego hasła, które jest również znane zespołu operacji w środowisku produkcyjnym.
Po pakiety wdrożonych do środowiska produkcyjnego, zespół operacji może re-encrypt wdrożonego pakietów przez przypisanie silnego hasła, który jest znany tylko do nich.Lub ich można szyfrować wdrożonego pakietów przez zaznaczenie EncryptSensitiveWithUserKey lub EncryptAllWithUserKey, a przy użyciu poświadczenia lokalnego konta, które zostanie uruchomione pakietów.
|
See Also