輪替已啟用記憶體保護區的金鑰

適用於：SQL Server 2019 (15.x) 及更新版本 - 僅限 Windows Azure SQL Database

在 Always Encrypted 中，金鑰輪替是將現有資料行主要金鑰或資料行加密金鑰更換成新金鑰的程序。 本文描述當初始金鑰和/或目標 (新) 金鑰是已啟用記憶體保護區的金鑰時，具有安全記憶體保護區的 Always Encrypted 特定金鑰輪替的使用案例和考量。 如需管理 Always Encrypted 金鑰的一般指導方針和程序，請參閱 Always Encrypted 的金鑰管理概觀。

您可能基於安全性或合規性理由，而需要輪替金鑰。 例如，如果金鑰已遭洩漏，或您的組織原則要求您定期更換金鑰。 此外，具有安全記憶體保護區的 Always Encrypted 金鑰輪替可讓您為加密資料行啟用或停用伺服器端安全記憶體保護區的功能。

• 當將金鑰從未啟用記憶體保護區更換成已啟用記憶體保護區的金鑰時，您會解除鎖定安全記憶體保護區查詢受該金鑰保護資料行的功能。 如需詳細資訊，請參閱為現有加密資料行啟用具有安全記憶體保護區的 Always Encrypted。
• 當將金鑰從已啟用記憶體保護區更換成未啟用記憶體保護區的金鑰時，您會停用安全記憶體保護區查詢受該金鑰保護資料行的功能。

如果只是基於安全性/合規性的理由輪替金鑰，而不是為了啟用或停用資料行的記憶體保護區計算，請確定目標金鑰與來源金鑰具有相同的記憶體保護區組態。 例如，如果來源金鑰已啟用記憶體保護區，則目標金鑰也應該啟用記憶體保護區。

以下步驟包含詳細文章的連結，視您的輪替情況而定：

1. 佈建新的金鑰 (資料行主要金鑰或資料行加密金鑰)。
   • 若要佈建已啟用記憶體保護區的新金鑰，請參閱佈建已啟用記憶體保護區的金鑰。
   • 若要佈建未啟用記憶體保護區的金鑰，請參閱使用 SQL Server Management Studio 佈建 Always Encrypted 金鑰和使用 PowerShell 佈建 Always Encrypted 金鑰。
2. 將現有金鑰更換成新的金鑰。
   • 如果您要輪替資料行加密金鑰，且來源金鑰和目標金鑰都已啟用記憶體保護區，您可以就地執行輪替 (這會涉及重新加密資料)。 如需詳細資訊，請參閱使用具有安全記憶體保護區的 Always Encrypted 就地設定資料行加密。
   • 如需輪替金鑰的詳細步驟，請參閱使用 SQL Server Management Studio 輪替 Always Encrypted 金鑰和使用 PowerShell 輪替 Always Encrypted 金鑰。

下一步

• 使用安全記憶體保護區執行 Transact-SQL 陳述式
• 使用具有安全記憶體保護區的 Always Encrypted 就地設定資料行加密
• 為現有加密資料行啟用具有安全記憶體保護區的 Always Encrypted
• 使用具有安全記憶體保護區的 Always Encrypted 開發應用程式

另請參閱

• 為具有安全記憶體保護區的 Always Encrypted 管理金鑰