使用 SQL Server Management Studio 配置 Always Encrypted

适用于: SQL Server Azure SQL 数据库 Azure SQL 托管实例

本文介绍使用 SQL Server Management Studio (SSMS)配置始终加密和管理使用始终加密的数据库时所需执行的任务。

使用 SSMS 配置 Always Encrypted 时的安全注意事项

当你使用 SSMS 配置始终加密时,SSMS 会处理始终加密密钥和敏感数据,因此,这些密钥和数据会以纯文本形式显示在 SSMS 进程内。 因此,请务必在安全计算机上运行 SSMS。 如果数据库托管在 SQL Server 中,请确保 SSMS 不是在托管 SQL Server 实例的计算机上运行,而是在另一台计算机上运行。 由于始终加密的主要目的是确保加密的敏感数据的安全(即使数据库系统遭到入侵),因此,在 SQL Server 计算机上执行 PowerShell 脚本来处理密钥或敏感数据会减少或抵消该功能带来的益处。 有关其他建议,请参阅 密钥管理安全注意事项

SSMS 不支持管理数据库的用户 (DBA) 与管理加密密码并有权访问纯文本数据的用户(安全管理员和/或应用程序管理员)之间的角色分离。 如果你的组织强制实施角色分离,你应使用 PowerShell 来配置始终加密。 有关详细信息,请参阅 Always Encrypted 密钥管理概述使用 PowerShell 配置 Always Encrypted

使用 SSMS 的 Always Encrypted 任务

另请参阅