Aracılığıyla paylaş

SQL Server Management Studio kullanarak Always Encrypted anahtarları sağlama

Şunlar için geçerlidir:SQL ServerAzure SQL VeritabanıAzure SQL Yönetilen Örneği

Bu makalede, SQL Server Management Studio (SSMS) kullanılarak Always Encrypted için sütun ana anahtarları ve sütun şifreleme anahtarları sağlama adımları sağlanır. Şifreleme anahtarlarını sağlarken SQL Server Management Studio'nun en son sürümünü kullanın.

En iyi yöntem önerileri ve önemli güvenlik konuları da dahil olmak üzere Always Encrypted anahtar yönetimine genel bakış için bkz. Always Encryptediçin anahtar yönetimine genel bakış .

Yeni Sütun Anahtar İletişim Kutusu ile Sütun Ana Anahtarlarını Sağlama

Yeni Sütun Ana Anahtarı iletişim kutusu, bir sütun ana anahtarı oluşturmanıza veya bir anahtar deposunda var olan bir anahtarı seçmenize ve veritabanında oluşturulan veya seçilen anahtar için sütun ana anahtarı meta verileri oluşturmanıza olanak tanır.

  1. Nesne Gezgini'ni kullanarak veritabanınızın altındaki Güvenlik -> Always Encrypted Keys düğümüne gidin.

  2. Sütun Ana Anahtarları düğümüne sağ tıklayın ve Yeni Sütun Ana Anahtarı... seçin.

  3. Yeni Sütun Ana Anahtarı iletişim kutusunda, sütun ana anahtarı meta veri nesnesinin adını girin.

  4. Bir anahtar deposu seçin:

    • Sertifika Deposu - Geçerli Kullanıcı - Kişisel deponuz olan Windows Sertifika Deposu'ndaki Geçerli Kullanıcı sertifika deposu konumunu gösterir.

    • Sertifika Deposu - Yerel bilgisayar - Windows Sertifika Deposu'ndaki Yerel bilgisayar sertifika deposu konumunu gösterir.

    • Azure Key Vault : Azure'da oturum açmanız gerekir (Oturum açseçeneğine tıklayın). Oturum açtığınızda Azure aboneliklerinizden birini ve bir anahtar kasasını veya yönetilen HSM'yi seçebilirsiniz (SSMS 18.9 veya üzeri gerekir).

      Not

      Azure Key Vault'ta yönetilen HSM depolanan sütun ana anahtarlarını kullanmak için SSMS 18.9 veya sonraki bir sürüm gerekir.

    • Anahtar Deposu Sağlayıcısı (KSP) - Şifreleme Yeni Nesil (CNG) API'sini uygulayan bir anahtar deposu sağlayıcısı (KSP) aracılığıyla erişilebilen bir anahtar deposunu gösterir. Genellikle bu tür bir depo bir donanım güvenlik modülüdür (HSM). Bu seçeneği seçtikten sonra bir KSP seçmeniz gerekir. Microsoft Yazılım Anahtar Deposu Sağlayıcısı varsayılan olarak seçilidir. HSM'de depolanan bir sütun ana anahtarı kullanmak istiyorsanız, cihazınız için bir KSP seçin (iletişim kutusunu açmadan önce bilgisayarda yüklü ve yapılandırılmış olmalıdır).

    • Şifreleme Hizmeti Sağlayıcısı (CSP)- Şifreleme API'sini (CAPI) uygulayan bir şifreleme hizmeti sağlayıcısı (CSP) aracılığıyla erişilebilen bir anahtar deposudur. Genellikle, böyle bir depo bir donanım güvenlik modülüdür (HSM). Bu seçeneği seçtikten sonra bir CSP seçmeniz gerekir. HSM'de depolanan bir sütun ana anahtarı kullanmak istiyorsanız, cihazınız için bir CSP seçin (iletişim kutusunu açmadan önce bilgisayarınıza yüklenip yapılandırılması gerekir).

    Not

    CAPI kullanım dışı bırakılmış bir API olduğundan, Şifreleme Hizmet Sağlayıcısı (CAPI) seçeneği varsayılan olarak devre dışı bırakılır. Windows Kayıt Defteri'ndeki [HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\sql13\Tools\Client\Always Encrypted] anahtarı altında CAPI Sağlayıcısı Etkin DWORD değerini oluşturup 1 olarak ayarlayarak etkinleştirebilirsiniz. Anahtar deponuz CNG'yi desteklemediği sürece CAPI yerine CNG kullanmalısınız.

    Yukarıdaki anahtar depoları hakkında daha fazla bilgi için bkz. Always Encrypted için sütun ana anahtarları oluşturma ve depolama.

  5. SQL Server 2019 (15.x) kullanıyorsanız ve SQL Server örneğiniz güvenli bir kapanımla yapılandırılmışsa, ana anahtarın kapanım etkin olmasını sağlamak için Kapanım hesaplamalarına izin ver onay kutusunu seçebilirsiniz. Ayrıntılar için bkz. Güvenli kuşatmalarla Always Encrypted.

    Not

    SQL Server örneğiniz güvenli bir yerleşim ile doğru yapılandırılmamışsa, Kapanım hesaplamalarına izin ver onay kutusu görüntülenmez.

  6. Anahtar deponuzda var olan bir anahtarı seçin veya anahtar deposunda bir anahtar oluşturmak için Anahtar Oluştur veya Sertifika oluştur düğmesine tıklayın.

    Not

    Sütun ana anahtarını oluşturmak için kullanılan anahtarların veya sertifikaların geçerliliğini doğrulamayız.

  7. tamam tıklayın ve yeni anahtar listede görünür.

İletişim kutusunu tamamladıktan sonra, SQL Server Management Studio veritabanındaki sütun ana anahtarınız için meta veriler oluşturur. İletişim kutusu bir CREATE COLUMN MASTER KEY (Transact-SQL) deyimi oluşturur ve verir.

Bölge destekli bir sütun ana anahtarı yapılandırıyorsanız, SSMS meta verileri de sütun ana anahtarını kullanarak imzalar.

Anahtar sütunu sağlama izinleri

bir sütun ana anahtarı oluşturmak için ALTER ANY COLUMN MASTER KEY veritabanı iznine sahip olmanız gerekir. Anahtar sütunu ana anahtarınıza erişmek ve anahtarınızı kullanmak için anahtar deposu izinlerine de ihtiyacınız vardır. Anahtar yönetimi işlemleri için gereken anahtar deposu izinleri hakkında ayrıntılı bilgi için, Always Encrypted ve sütun ana anahtarları oluşturma ve depolama'ya bakın ve anahtar deponuzla ilgili bölümü inceleyin.

Yeni Sütun Şifreleme Anahtarı İletişim Kutusu ile Sütun Şifreleme Anahtarlarını Sağlayın

Yeni Sütun Şifreleme Anahtarı iletişim kutusu bir sütun şifreleme anahtarı oluşturmanıza, bunu bir sütun ana anahtarıyla şifrelemenize ve veritabanında sütun şifreleme anahtarı meta verilerini oluşturmanıza olanak tanır.

  1. Nesne Gezginikullanarak veritabanınızın altındaki Security/Always Encrypted Keys klasörüne gidin.
  2. Sütun Şifreleme Anahtarları klasörüne sağ tıklayın ve Yeni Sütun Şifreleme Anahtarı... seçin.
  3. Yeni Sütun Şifreleme Anahtarı iletişim kutusuna sütun şifreleme anahtarı meta veri nesnesinin adını girin.
  4. Veritabanındaki sütun ana anahtarınızı temsil eden bir meta veri nesnesi seçin.
  5. Tamamtıklayın.

İletişim kutusunu tamamladıktan sonra, SQL Server Management Studio (SSMS) yeni bir sütun şifreleme anahtarı oluşturur. SSMS daha sonra veritabanından seçtiğiniz sütun ana anahtarının meta verilerini alır. SSMS daha sonra sütun ana anahtarı meta verilerini kullanarak sütun ana anahtarınızı içeren anahtar deposuna başvurur ve sütun şifreleme anahtarını şifreler. Son olarak, SSMS bir CREATE COLUMN ENCRYPTION KEY (Transact-SQL) deyimi oluşturarak ve vererek veritabanındaki yeni sütun şifrelemesi için meta veri oluşturur.

Not

Azure Key Vault'ta yönetilen HSM depolanan sütun ana anahtarlarını kullanmak için SSMS 18.9 veya sonraki bir sürüm gerekir.

Sütun şifreleme anahtarı sağlama izinleri

Veritabanında sütun şifreleme anahtarı meta verilerini oluşturmak ve sütun ana anahtarı meta verilerine erişmek için ALTER ANY COLUMN ENCRYPTION KEY ve VIEW ANY COLUMN MASTER KEY DEFINITION veritabanı izinlerine ihtiyacınız var. Ayrıca sütun ana anahtarınıza erişmek ve bunları kullanmak için anahtar deposu izinlerine de ihtiyacınız vardır. Anahtar yönetimi işlemleri için gereken anahtar deposu izinleri hakkında ayrıntılı bilgi için Always Encrypted için sütun ana anahtarları oluşturma ve depolama bölümüne gidin ve anahtar deponuzla ilgili bir bölüm bulun.

Always Encrypted Sihirbazı'nı kullanarak Always Encrypted Anahtarları oluşturma

Always Encrypted Sihirbazı, seçilen veritabanı sütunlarını şifrelemeye, şifre çözmeye ve yeniden şifrelemeye yönelik bir araçtır. Zaten yapılandırılmış anahtarları kullanabilir ancak yeni bir sütun ana anahtarı ve yeni bir sütun şifrelemesi oluşturmanıza da olanak tanır.

Sonraki Adımlar

Ayrıca Bkz.

  • Last updated on