SQL Server 巨量資料叢集透明待用資料加密 (TDE) 使用指南
適用於:
SQL Server 2019 (15.x)
重要
Microsoft SQL Server 2019 巨量資料叢集附加元件將會淘汰。 SQL Server 2019 巨量資料叢集的支援將於 2025 年 2 月 28 日結束。 平台上將完全支援含軟體保證 SQL Server 2019 的所有現有使用者,而且軟體將會持續透過 SQL Server 累積更新來維護,直到該時間為止。 如需詳細資訊,請參閱公告部落格文章與 Microsoft SQL Server 平台上的巨量資料選項。
本指南示範如何使用 SQL Server 巨量資料叢集的待用加密功能來加密資料庫。
設定 SQL Server 透明資料加密時,DBA 的組態體驗是相同的 Linux 上 SQL Server,且除非另行通知,否則須遵守標準 TDE 文件。 若要監視主機上的加密狀態,請遵循 sys.dm_database_encryption_keys 和 sys.certificates 上的標準 DMV 查詢模式。
不支援的功能:
- 資料集區加密
必要條件
- SQL Server 2019 CU8+ 巨量資料叢集
- 巨量資料工具,特別是 Azure Data Studio
- 具有系統管理權限的 SQL Server 登入 (主要執行個體上 SQL Server 系統管理員角色的成員)
查詢已安裝的憑證
在 Azure Data Studio 中,連線到巨量資料叢集的 SQL Server 主要執行個體。 如需詳細資訊,請參閱連線到 SQL Server 主要執行個體。
按兩下 [伺服器] 視窗中的連線,顯示 SQL Server 主要執行個體的伺服器儀表板。 選取 [新增查詢]。
執行下列 Transact-SQL 命令,將內容變更為主要執行個體中的
master資料庫。USE master; GO查詢已安裝的系統管理憑證。
SELECT TOP 1 name FROM sys.certificates WHERE name LIKE 'TDECertificate%' ORDER BY name DESC;視需要使用不同的查詢準則。
憑證名稱會以「TDECertificate{timestamp}」的形式列出。 當您看到前置詞為 TDECertificate,而後面接著時間戳記時,這就是系統管理功能所提供的憑證。
使用系統管理憑證來加密資料庫
在下列範例中,根據上一節的輸出,假設有名為 userdb 的資料庫做為加密目標,以及名為 TDECertificate2020_09_15_22_46_27 的系統提供憑證。
請使用下列模式,透過所提供的系統憑證來產生資料庫加密金鑰。
USE userdb; GO CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE TDECertificate2020_09_15_22_46_27; GO使用下列命令來加密資料庫 userdb。
ALTER DATABASE userdb SET ENCRYPTION ON; GO
使用外部提供者時管理資料庫加密
如需在待用 SQL Server 巨量資料叢集加密上使用金鑰版本方式的相關詳細資訊,請參閱 SQL Server 巨量資料叢集中的金鑰版本。 「SQL Server 的主要金鑰輪替」一節包含在使用外部金鑰提供者時,如何管理資料庫加密的端對端範例。
後續步驟
了解 HDFS 的待用加密: