Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL Server 2019 (15.x) i nowsze — tylko Windows Azure SQL Database
W funkcji Always Encrypted rotacja kluczy to proces zastępowania istniejącego klucza głównego kolumny lub klucza szyfrowania kolumny nowym kluczem. W tym artykule opisano przypadki użycia i zagadnienia związane z rotacją kluczy, specyficzne dla technologii Always Encrypted z bezpiecznymi enklawami, gdy zarówno klucz początkowy, jak i/lub docelowy (nowy) są kluczami z aktywną funkcją enklawy. Aby uzyskać ogólne wytyczne i procesy zarządzania kluczami Always Encrypted, zobacz Omówienie zarządzania kluczami dla funkcji Always Encrypted.
Może być konieczne obracanie klucza ze względów bezpieczeństwa lub zgodności. Na przykład jeśli klucz został naruszony lub zasady organizacji wymagają okresowego zastępowania kluczy. Ponadto funkcjonalność Always Encrypted z rotacją kluczy w bezpiecznych enklawach zapewnia możliwość włączania lub wyłączania funkcjonalności bezpiecznej enklawy po stronie serwera dla zaszyfrowanych kolumn.
- Po zastąpieniu klucza, który nie jest obsługiwany przez enklawę, kluczem obsługiwanym przez enklawę, można odblokować funkcjonalność bezpiecznej enklawy do wykonywania zapytań o kolumny chronione tym kluczem. Aby uzyskać więcej informacji, zobacz Włączanie funkcji Always Encrypted z bezpiecznymi enklawami dla istniejących zaszyfrowanych kolumn.
- Po zastąpieniu klucza z obsługą enklawy kluczem, który jej nie obsługuje, funkcjonalność bezpiecznej enklawy do zapytań o kolumny chronione za pomocą klucza zostaje wyłączona.
Jeśli obracasz klucz tylko ze względów bezpieczeństwa/zachowania zgodności, a nie po to, aby włączyć lub wyłączyć obliczenia enklaw dla kolumn, upewnij się, że klucz docelowy ma taką samą konfigurację enklaw jak klucz źródłowy. Jeśli na przykład klucz źródłowy jest włączony w enklawie, klucz docelowy powinien być również włączony w enklawie.
Poniższe kroki obejmują linki do szczegółowych artykułów w zależności od scenariusza rotacji:
Aprowizuj nowy klucz (klucz główny kolumny lub klucz szyfrowania kolumny).
- Aby przygotować nowy klucz z obsługą enklawy, zobacz Przygotuj klucze z obsługą enklawy.
- Aby aprowizować klucz, który nie jest obsługiwany przez enklawę, zobacz Aprowizuj klucze Always Encrypted przy użyciu programu SQL Server Management Studio i Aprowizuj klucze Always Encrypted przy użyciu programu PowerShell.
Uwaga / Notatka
W przypadku korzystania z usługi Azure Key Vault jako magazynu kluczy wielodostępna rotacja kluczy zarządzanych przez klienta nie jest obsługiwana. Upewnij się, że nowy klucz zarządzany przez klienta znajduje się w tym samym tenantcie co istniejący.
Zastąp istniejący klucz nowym kluczem.
- Jeśli rotujesz klucz szyfrowania kolumny, a zarówno klucz źródłowy, jak i klucz docelowy obsługują enklawy, możesz uruchomić rotację (która obejmuje ponowne szyfrowanie danych) w miejscu. Aby uzyskać więcej informacji, zapoznaj się z konfigurowaniem szyfrowania kolumn za pomocą Always Encrypted i bezpiecznych enklaw.
- Aby uzyskać szczegółowe instrukcje rotacji kluczy, zobacz Rotacja kluczy Always Encrypted przy użyciu programu SQL Server Management Studio i Obróć klucze Always Encrypted przy użyciu programu PowerShell.
Powiązana zawartość
- Uruchamianie instrukcji Transact-SQL przy użyciu bezpiecznych enklaw
- Konfigurowanie szyfrowania kolumn bezpośrednio z użyciem Always Encrypted z bezpiecznymi enklawami
- Włącz funkcję Always Encrypted z bezpiecznymi enklawami dla istniejących zaszyfrowanych kolumn
- Tworzenie aplikacji przy użyciu funkcji Always Encrypted z bezpiecznymi enklawami
- Zarządzanie kluczami funkcji Always Encrypted przy użyciu bezpiecznych enklaw