Смена ключей с поддержкой анклава

Область применения: SQL Server 2019 (15.x) и более поздних версий — Windows только База данных SQL Azure

Смена ключа в Always Encrypted — это процесс замены существующего главного ключа столбца или ключа шифрования столбца новым ключом. В этой статье описываются варианты использования и рассматриваются вопросы, связанные со сменой ключей для Always Encrypted с безопасным анклавом, когда в качестве ключа с поддержкой анклава выступает исходный и (или) целевой (новый) ключ. Общие рекомендации и процессы управления ключами Always Encrypted см. в статье Общие сведения об управлении ключами для Always Encrypted.

Смена ключа может потребоваться в целях обеспечения безопасности или соответствия требованиям. Например, смена ключа необходима в случае его компрометации или периодическая замена ключей выполняется в соответствии с политиками организации. Кроме того, смена ключей в Always Encrypted с безопасными анклавами позволяет включать или отключать функциональность серверного безопасного анклава для зашифрованных столбцов.

• При замене ключа без поддержки анклава на ключ с поддержкой анклава происходит разблокировка функциональных возможностей безопасного анклава для выполнения запросов к столбцам, защищенным с помощью ключа. Дополнительные сведения см. в статье Включение Always Encrypted с безопасными анклавами для существующих зашифрованных столбцов.
• При замене ключа с поддержкой анклава на ключ без поддержки анклава происходит отключение функциональных возможностей безопасного анклава для выполнения запросов к столбцам, защищенным с помощью ключа.

Если смена ключа осуществляется только в целях обеспечения безопасности или соответствия требованиям без включения или отключения вычислений анклава для столбцов, целевой ключ должен иметь ту же конфигурацию анклавов, что и исходный ключ. Например, если исходный ключ поддерживает анклав, целевой ключ также должен поддерживать анклав.

В зависимости от сценария смены ключей выполните приведенные ниже действия, перейдя по ссылкам на статьи с подробными инструкциями.

1. Подготовьте новый ключ (главный ключ столбца или ключ шифрования столбца).
   • Сведения о подготовке нового ключа с поддержкой анклава см. в статье Подготовка ключей с поддержкой анклава.
   • Сведения о подготовке ключа без поддержки в анклава см. в статьях Подготовка ключей Always Encrypted с помощью SQL Server Management Studio и Подготовка ключей Always Encrypted с помощью PowerShell.
2. Замените существующий ключ новым ключом.
   • Если при смене ключа шифрования столбца исходный и целевой ключи поддерживают анклав, процесс смены (который предполагает повторное шифрование данных) можно выполнить на месте. Дополнительные сведения см. в статье Настройка шифрования столбцов на месте с помощью Always Encrypted с безопасными анклавами.
   • Подробные инструкции по смене ключей см. в статьях Смена ключей Always Encrypted с помощью SQL Server Management Studio и Смена ключей Always Encrypted с помощью PowerShell.

Следующие шаги

• Выполнение инструкций Transact-SQL с помощью безопасных анклавов
• Настройка шифрования столбцов на месте с помощью Always Encrypted с безопасными анклавами
• Включение Always Encrypted с безопасными анклавами для существующих зашифрованных столбцов
• Разработка приложений с помощью Always Encrypted с безопасными анклавами

См. также

• Управление ключами для Always Encrypted с безопасными анклавами