Öğretici: Always Encrypted'ı kullanmaya başlama

Şunlar için geçerlidir:SQL Server Azure SQL Veritabanı Azure SQL Yönetilen Örneği

Bu öğretici, Always Encrypted'ı kullanmaya başlamayı öğretir. Size şunu gösterir:

Veritabanınızda seçili sütunları şifreleme.
Şifrelenmiş sütunları sorgulama.

Uyarı

Güvenli kuşatmalarla Always Encrypted hakkında bilgi arıyorsanız bunun yerine aşağıdaki öğreticilere bakın:

Önkoşullar

Bu eğitim için şunlara ihtiyacınız var:

Azure SQL Veritabanı, Azure SQL Yönetilen Örneği veya SQL Server'da boş bir veritabanı. Aşağıdaki yönergelerde veritabanı adının ContosoHR olduğu varsayılır. Veritabanının sahibi olmanız gerekir ( db_owner rolünün bir üyesi). Veritabanı oluşturma hakkında bilgi için bkz . Hızlı Başlangıç: Tek veritabanı oluşturma - Azure SQL Veritabanı veya SQL Server'da veritabanı oluşturma.
İsteğe bağlı, ancak özellikle veritabanınız Azure'daysa önerilir: Azure Key Vault'ta bir anahtar kasası. Anahtar kasası oluşturma hakkında bilgi için bkz . Hızlı Başlangıç: Azure portalını kullanarak anahtar kasası oluşturma.
- Anahtar kasanız erişim ilkesi izin modelini kullanıyorsa, anahtar kasasında aşağıdaki anahtar izinlerine sahip olduğunuzdan emin olun: get, list, create, unwrap key, wrap key, , verify, sign. Bakınız Key Vault erişim ilkesi atama.
- Azure rol tabanlı erişim denetimi (RBAC) izin modelini kullanıyorsanız anahtar kasanızın Key Vault Şifreleme Yetkilisi rolünün üyesi olduğunuzdan emin olun. Bkz Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli bilgilerine erişim sağlama.
SQL Server Management Studio'nun (SSMS) en son sürümü veya SqlServer ve Az PowerShell modüllerinin en son sürümü. Az PowerShell modülü yalnızca Azure Key Vault kullanıyorsanız gereklidir.

1. Adım: Veritabanı şemasını oluşturma ve doldurma

Bu adımda İnsan Kaynakları şemasını ve Çalışanlar tablosunu oluşturacaksınız. Ardından tabloyu bazı verilerle dolduracaksınız.

SSMS
PowerShell

Veritabanınıza bağlanın. SSMS'den veritabanına bağlanma yönergeleri için bkz . Hızlı Başlangıç: SQL Server Management Studio (SSMS) kullanarak Azure SQL Veritabanı'na veya Azure SQL Yönetilen Örneği'ne bağlanma ve sorgulama veya Hızlı Başlangıç: SQL Server Management Studio (SSMS) kullanarak SQL Server örneğini bağlama ve sorgulama.
ContosoHR veritabanı için yeni bir sorgu penceresi açın.

Employees adlı yeni bir tablo oluşturmak için aşağıdaki deyimleri yapıştırıp yürütün.

CREATE SCHEMA [HR];
GO

CREATE TABLE [HR].[Employees]
(
    [EmployeeID] [int] IDENTITY(1,1) NOT NULL
    , [SSN] [char](11) NOT NULL
    , [FirstName] [nvarchar](50) NOT NULL
    , [LastName] [nvarchar](50) NOT NULL
    , [Salary] [money] NOT NULL
) ON [PRIMARY];

Employees tablosuna birkaç çalışan kaydı eklemek için aşağıdaki satırları yapıştırın ve yürütün.

INSERT INTO [HR].[Employees]
(
    [SSN]
    , [FirstName]
    , [LastName]
    , [Salary]
)
VALUES
(
    '795-73-9838'
    , N'Catherine'
    , N'Abel'
    , $31692
);

INSERT INTO [HR].[Employees]
(
    [SSN]
    , [FirstName]
    , [LastName]
    , [Salary]
)
VALUES
(
    '990-00-6818'
    , N'Kim'
    , N'Abercrombie'
    , $55415
);

PowerShell oturumunda aşağıdaki komutları yürütebilirsiniz. Bağlantı dizesini sunucunuzun adresi ve veritabanınız için geçerli olan kimlik doğrulama ayarlarıyla güncelleştirdiğinizden emin olun.

Import-Module "SqlServer"

# Set your database connection string
$connectionString = "Server = myServerAddress; Database = ContosoHR; ..."

# Create a new table, named Employees.
$query = @'
    CREATE SCHEMA [HR];
    GO
    
    CREATE TABLE [HR].[Employees]
    (
        [EmployeeID] [int] IDENTITY(1,1) NOT NULL
        , [SSN] [char](11) NOT NULL
        , [FirstName] [nvarchar](50) NOT NULL
        , [LastName] [nvarchar](50) NOT NULL
        , [Salary] [money] NOT NULL
    ) ON [PRIMARY];
'@
Invoke-SqlCmd -ConnectionString $connectionString -Query $query

# Add a few rows to the Employees table.
$query = @'
    INSERT INTO [HR].[Employees]
    (
        [SSN]
        , [FirstName]
        , [LastName]
        , [Salary]
    )
    VALUES
    (
        '795-73-9838'
        , N'Catherine'
        , N'Abel'
        , $31692
    );

    INSERT INTO [HR].[Employees]
    (
        [SSN]
        , [FirstName]
        , [LastName]
        , [Salary]
    )
    VALUES
    (
        '990-00-6818'
        , N'Kim'
        , N'Abercrombie'
        , $55415
    );
'@
Invoke-SqlCmd -ConnectionString $connectionString -Query $query

2. Adım: Sütunları şifreleme

Bu adımda, Always Encrypted için bir sütun ana anahtarı ve bir sütun şifreleme anahtarı sağlarsınız. Ardından, Çalışanlar tablosundaki SSN ve Maaş sütunlarını şifreleyeceksiniz.

SSMS
PowerShell

SSMS, bir sütun ana anahtarı, sütun şifreleme anahtarı ayarlayarak ve seçili sütunları şifreleyerek Always Encrypted'ı kolayca yapılandırmanıza yardımcı olan bir sihirbaz sağlar.

Nesne Gezgini'ndeVeritabanları>ContosoHR>Tabloları'yı genişletin.
Çalışanlar tablosuna sağ tıklayın ve Always Encrypted sihirbazını açmak için Sütunları Şifrele'yi seçin.
Sihirbazın Giriş sayfasında İleri'yi seçin.
Sütun Seçimi sayfasında.
1. SSN ve Maaş sütunlarını seçin. SSN sütunu için belirleyici şifrelemeyi ve Maaş sütunu için rastgele şifrelemeyi seçin. Deterministik şifreleme, şifrelenmiş sütunlarda eşitlik karşılaştırmaları içeren nokta arama aramaları gibi sorguları destekler. Rastgele şifreleme, şifrelenmiş sütunlarda herhangi bir hesaplamayı desteklemez.
2. CEK-Auto1 (Yeni)'yi her iki sütun için de sütun şifreleme anahtarı olarak bırakın. Bu anahtar henüz yok ve sihirbaz tarafından oluşturulacak.
3. sonrakiseçin.
Ana Anahtar Yapılandırması sayfasında, sihirbaz tarafından oluşturulacak yeni bir sütun ana anahtarı yapılandırın. İlk olarak, sütun ana anahtarınızı depolamak istediğiniz yeri seçmeniz gerekir. Sihirbaz iki anahtar deposu türünü destekler:
- Azure Key Vault - Veritabanınız Azure'daysa önerilir
- Windows sertifika deposu
Genel olarak, özellikle veritabanınız Azure'daysa Azure Key Vault önerilir.
- Azure Key Vault'ı kullanmak için:
  1. Azure Key Vault'a tıklayın.
  2. Oturum aç'ı seçin ve Azure'da oturum açmayı tamamlayın.
  3. Oturum açtıktan sonra sayfa, erişiminiz olan aboneliklerin ve anahtar kasalarının listesini görüntüler. Kullanmak istediğiniz anahtar kasasını içeren bir Azure aboneliği seçin.
  4. Anahtar kasanızı seçin.
  5. sonrakiseçin.
- Windows sertifika depolarını kullanmak için:
  1. Windows sertifika deposu'ni seçin.
  2. Varsayılan Geçerli Kullanıcı seçimini değiştirmeyin. Bu, sihirbaza Geçerli Kullanıcı deposunda bir sertifika (yeni sütun ana anahtarınız) oluşturmasını ister.
  3. sonrakiseçin.
In-Place Şifreleme Ayarları sayfasında, veritabanında enklav etkin olmadığı için ek yapılandırma gerekmez. sonrakiseçin.
Çalıştırma Ayarları sayfasında, şifrelemeye devam etmek mi yoksa daha sonra yürütülecek bir PowerShell betiği oluşturmak mı istediğiniz sorulur. Varsayılan ayarları bırakın ve İleri'yi seçin.
Özet sayfasında, sihirbaz yürütülecek eylemler hakkında sizi bilgilendirecektir. Tüm bilgilerin doğru olup olmadığını denetleyin ve Son'u seçin.
Sonuçlar sayfasında sihirbazın işlemlerinin ilerleme durumunu izleyebilirsiniz. Tüm işlemler başarıyla tamamlanana kadar bekleyin ve Kapat'ı seçin.
(İsteğe bağlı) Sihirbazın veritabanınızda yaptığı değişiklikleri keşfedin.
1. ContosoHR>Güvenliği>Always Encrypted Anahtarları'nı genişleterek sütun ana anahtarının meta veri nesnelerini ve sihirbazın oluşturduğu sütun şifrelemesini keşfedin.
2. Anahtar meta verileri içeren sistem kataloğu görünümlerine karşı aşağıdaki sorguları da çalıştırabilirsiniz.
```
SELECT * FROM sys.column_master_keys;
SELECT * FROM sys.column_encryption_keys
SELECT * FROM sys.column_encryption_key_values
```
3. Nesne Gezgini'ndeÇalışanlar tablosuna sağ tıklayın ve Betik Tablosu'nu>> olarak seçin. Bu, Çalışanlar tablosunun CREATE TABLE deyimiyle yeni bir sorgu penceresi açar. SSN ve Maaş sütunlarının tanımlarında görünen ENCRYPTED WITH yan tümcesine dikkat edin.
4. Şifrelenmiş iki sütun için sütun düzeyinde şifreleme meta verilerini almak için sys.columns dosyasında aşağıdaki sorguyu da çalıştırabilirsiniz.
```
SELECT
[name]
, [encryption_type]
, [encryption_type_desc]
, [encryption_algorithm_name]
, [column_encryption_key_id]
FROM sys.columns
WHERE [encryption_type] IS NOT NULL;
```

Anahtar deponuzda bir sütun ana anahtarı oluşturun.

Azure Key Vault kullanıyorsanız, anahtar kasanızda asimetrik anahtar oluşturmak için aşağıdaki komutları yürütün. Aboneliğinizin doğru kimliğini, anahtar kasanızı içeren kaynak grubunun adını ve anahtar kasası adınızı sağladığınızdan emin olun.

Import-Module "Az"
Connect-AzAccount
$subscriptionId = "<your Azure subscription ID"
$resourceGroup = "your resource group name containing your key vault"
$keyVaultName = "your vault name"
$keyVaultKeyName = "your key name"

# Switch to your subscription.
Set-AzConteXt -SubscriptionId $subscriptionId

# To validate the above key vault settings, get the key vault properties.
Get-AzKeyVault -VaultName $keyVaultName -ResourceGroupName $resourceGroup 

# Create a key in the key vault.
$keyVaultKey = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyVaultKeyName -Destination "Software"
$keyVaultKey

Windows sertifika deposu kullanıyorsanız, Geçerli Kullanıcı deponuzda bir sertifika oluşturmak için aşağıdaki komutları yürütebilirsiniz.

$cert = New-SelfSignedCertificate -Subject "HRCMK" -CertStoreLocation Cert:CurrentUser\My -KeyExportPolicy Exportable -Type DocumentEncryptionCert -KeyUsage DataEncipherment -KeySpec KeyExchange

SqlServer PowerShell modülünü kullanarak veritabanınıza bağlanın. Veritabanınız için geçerli bir bağlantı dizesi sağladığınızdan emin olun.
```
$database = Get-SqlDatabase -ConnectionString $connectionString
$database
```

Veritabanınızda, anahtar deponuzda oluşturmuş olduğunuz fiziksel sütun ana anahtarına referans veren bir sütun ana anahtarı meta veri nesnesi sağlayın.

Azure Key Vault kullanıyorsanız aşağıdaki komutları yürütebilirsiniz.

# Sign in to Azure for the SqlServer PowerShell module
Add-SqlAzureAuthenticationContext -Interactive

# Create a SqlColumnMasterKeySettings in-memory object referencing the key you've created in your key vault. 
$cmkSettings = New-SqlAzureKeyVaultColumnMasterKeySettings -KeyURL $keyVaultKey.Key.Kid

# Create column master key metadata object (referencing your certificate), named CMK1, in the database.
$cmkName = "CMK1"
New-SqlColumnMasterKey -Name $cmkName -InputObject $database -ColumnMasterKeySettings $cmkSettings

Windows sertifika deposu kullanıyorsanız aşağıdaki komutları yürütebilirsiniz.

# Create a SqlColumnMasterKeySettings in-memory object referencing your certificate.
$cmkSettings = New-SqlCertificateStoreColumnMasterKeySettings -CertificateStoreLocation "CurrentUser" -Thumbprint $cert.Thumbprint

# Create column master key metadata object, named CMK1, in the database.
$cmkName = "CMK1"
New-SqlColumnMasterKey -Name $cmkName -InputObject $database -ColumnMasterKeySettings $cmkSettings

Bir sütun şifreleme anahtarı oluşturun, oluşturduğunuz sütun ana anahtarıyla şifreleyin ve veritabanında bir sütun şifreleme anahtarı meta veri nesnesi oluşturun.
```
$cekName = "CEK1"
New-SqlColumnEncryptionKey -Name $cekName -InputObject $database -ColumnMasterKey $cmkName
```

Çalışanlar Tablosunda SSN ve Maaş sütunlarını şifreleyin. SSN sütunu için belirleyici şifrelemeyi ve Maaş sütunu için rastgele şifrelemeyi seçin. Deterministik şifreleme, şifrelenmiş sütunlarda eşitlik karşılaştırmaları içeren nokta arama aramaları gibi sorguları destekler. Rastgele şifreleme, şifrelenmiş sütunlarda herhangi bir hesaplamayı desteklemez.

# Encrypt the SSN and Salary columns 
$ces = @()
$ces += New-SqlColumnEncryptionSettings -ColumnName "HR.Employees.SSN" -EncryptionType "Deterministic" -EncryptionKey $cekName
$ces += New-SqlColumnEncryptionSettings -ColumnName "HR.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey $cekName
Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory .

(İsteğe bağlı) Veritabanınızda yaptığınız değişiklikleri keşfedin.

Oluşturduğunuz sütun ana anahtarı ve sütun şifreleme anahtarı hakkındaki meta verileri içeren sistem kataloğu görünümlerini sorgulamak için aşağıdaki komutları çalıştırın.

$query = @'
SELECT * FROM sys.column_master_keys;
SELECT * FROM sys.column_encryption_keys
SELECT * FROM sys.column_encryption_key_values
'@

Invoke-SqlCmd -ConnectionString $connectionString -Query $query

İki şifrelenmiş sütun için sütun düzeyinde şifreleme meta verilerini almak üzere sys.columns dosyasını sorgulamak için aşağıdaki komutları çalıştırın.

$query = @'
SELECT
[name]
, [encryption_type]
, [encryption_type_desc]
, [encryption_algorithm_name]
, [column_encryption_key_id]
FROM sys.columns
WHERE [encryption_type] IS NOT NULL;
'@

Invoke-SqlCmd -ConnectionString $connectionString -Query $query

Bağlantınız için Always Encrypted devre dışı bırakılmış olarak veritabanınıza bağlanın.
1. Yeni bir sorgu penceresi açın.
2. Sorgu penceresinde herhangi bir yere sağ tıklayın ve Bağlantı> seçin. Bu işlem Veritabanı Altyapısına Bağlan iletişim kutusunu açar.
3. Seçenekleri<< belirleyin. Bu, Veritabanı Altyapısına Bağlan iletişim kutusunda ek sekmeler gösterir.
4. Always Encrypted sekmesini seçin.
5. Always Encrypted'ı Etkinleştir (sütun şifrelemesi) seçeneğinin seçili olmadığından emin olun.
6. Bağlan seçeneğini seçin.
Yapıştırın ve aşağıdaki sorguyu çalıştırın. Sorgu ikili şifrelenmiş veriler döndürmelidir.
```
SELECT [SSN], [Salary] FROM [HR].[Employees]
```
Bağlantınız için Always Encrypted etkinken veritabanınıza bağlanın.
1. Sorgu penceresinde herhangi bir yere sağ tıklayın ve Bağlantı> seçin. Bu işlem Veritabanı Altyapısına Bağlan iletişim kutusunu açar.
2. Seçenekleri<< belirleyin. Bu, Veritabanı Altyapısına Bağlan iletişim kutusunda ek sekmeler gösterir.
3. Always Encrypted sekmesini seçin.
4. Always Encrypted'ı Etkinleştir (sütun şifrelemesi) seçeneğini belirleyin.
5. Bağlan seçeneğini seçin.
Aynı sorguyu yeniden çalıştırın. Veritabanı bağlantınız için Always Encrypted etkinleştirildiğinden, SSMS'deki istemci sürücüsü her iki şifrelenmiş sütunda depolanan verilerin şifresini çözmeyi dener. Azure Key Vault kullanıyorsanız Azure'da oturum açmanız istenebilir.
Always Encrypted için Parametreleştirmeyi etkinleştirin. Bu özellik, verileri şifrelenmiş sütunlara göre filtreleyen (veya şifrelenmiş sütunlara veri ekleyen) sorgular çalıştırmanızı sağlar.
1. SSMS'nin ana menüsünden Sorgu'yu seçin.
2. Sorgu Seçenekleri'ni seçin....
3. Yürütme>Gelişmiş Ayarlar'a girin.
4. Always Encrypted için Parametreleştirmeyi Etkinleştir seçeneğinin işaretli olduğundan emin olun.
5. Tamam'ı seçin.
Verileri şifrelenmiş SSN sütununa göre filtreleyen aşağıdaki sorguyu yapıştırın ve yürütün. Sorgu düz metin değerleri içeren bir satır döndürmelidir.
```
DECLARE @SSN [char](11) = '795-73-9838'
SELECT [SSN], [Salary] FROM [HR].[Employees]
WHERE [SSN] = @SSN
```
İsteğe bağlı olarak, erişim ilkesi izin modeliyle yapılandırılmış Azure Key Vault kullanıyorsanız, kullanıcı verileri koruyan sütun ana anahtarına erişmeden şifrelenmiş sütunlardan düz metin verileri almaya çalıştığında neler olduğunu görmek için aşağıdaki adımları izleyin.
1. Anahtar unwrap kasanızın erişim ilkesinde kendiniz için anahtar iznini kaldırın. Daha fazla bilgi için bkz. Key Vault erişim ilkesi atama.
2. SSMS'deki istemci sürücüsü bir anahtar kasasından alınan sütun şifreleme anahtarlarını 2 saat boyunca önbelleğe aldığı için SSMS'yi kapatın ve yeniden açın. Bu, anahtar önbelleğinin boş olmasını sağlar.
3. Bağlantınız için Always Encrypted etkinken veritabanınıza bağlanın.
4. Yapıştırın ve aşağıdaki sorguyu çalıştırın. Sorgu, gerekli unwrap iznin eksik olduğunu belirten hata iletisiyle başarısız olmalıdır.
```
SELECT [SSN], [Salary] FROM [HR].[Employees]
```

Always Encrypted devre dışı bırakılmış olarak veritabanınıza bağlanın ve şifrelenmiş sütunlardan veri okumak için bir sorgu çalıştırın. Sorgu şifrelenmiş verileri ikili diziler olarak döndürmelidir.
```
$query = "SELECT [SSN], [Salary] FROM [HR].[Employees]"
Invoke-SqlCmd -ConnectionString $connectionString -Query $query
```
Always Encrypted etkinken veritabanınıza bağlanın ve şifrelenmiş sütunlardan veri okumak için bir sorgu çalıştırın. Şifrelenmiş sütunlarınızı koruyan sütun ana anahtarına erişiminiz olduğundan, sorgu düz metin verileri döndürmelidir.
```
$query = "SELECT [SSN], [Salary] FROM [HR].[Employees]"
Invoke-SqlCmd -ConnectionString "$connectionString; Column Encryption Setting = Enabled" -Query $query
```

Uyarı

Invoke-SqlCmd , şifrelenmiş sütunlara göre filtre uygulayabilen veya verilere veri ekleyebilen sorguları desteklemez. Bu tür sorguların parametreleştirilmesi gerekir ve Invoke-SqlCmd parametreli sorguları desteklemez.

Sonraki Adımlar

Always Encrypted kullanarak uygulama geliştirme

Ayrıca bakınız

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2025-11-25