分享方式:


輪替已啟用記憶體保護區的金鑰

適用於:SQL Server 2019 (15.x) 及更新版本 - 僅限 Windows Azure SQL 資料庫

在 Always Encrypted 中,金鑰輪替是將現有資料行主要金鑰或資料行加密金鑰更換成新金鑰的程序。 本文描述當初始金鑰和/或目標 (新) 金鑰是已啟用記憶體保護區的金鑰時,具有安全記憶體保護區的 Always Encrypted 特定金鑰輪替的使用案例和考量。 如需管理 Always Encrypted 金鑰的一般指導方針和程序,請參閱 Always Encrypted 的金鑰管理概觀

您可能基於安全性或合規性理由,而需要輪替金鑰。 例如,如果金鑰已遭洩漏,或您的組織原則要求您定期更換金鑰。 此外,具有安全記憶體保護區的 Always Encrypted 金鑰輪替可讓您為加密資料行啟用或停用伺服器端安全記憶體保護區的功能。

  • 當將金鑰從未啟用記憶體保護區更換成已啟用記憶體保護區的金鑰時,您會解除鎖定安全記憶體保護區查詢受該金鑰保護資料行的功能。 如需詳細資訊,請參閱為現有加密資料行啟用具有安全記憶體保護區的 Always Encrypted
  • 當將金鑰從已啟用記憶體保護區更換成未啟用記憶體保護區的金鑰時,您會停用安全記憶體保護區查詢受該金鑰保護資料行的功能。

如果只是基於安全性/合規性的理由輪替金鑰,而不是為了啟用或停用資料行的記憶體保護區計算,請確定目標金鑰與來源金鑰具有相同的記憶體保護區組態。 例如,如果來源金鑰已啟用記憶體保護區,則目標金鑰也應該啟用記憶體保護區。

以下步驟包含詳細文章的連結,視您的輪替情況而定:

  1. 佈建新的金鑰 (資料行主要金鑰或資料行加密金鑰)。
  2. 將現有金鑰更換成新的金鑰。

下一步

另請參閱