Rotace klíčů s podporou enklávy

platí pro: SQL Server 2019 (15.x) a novější – Pouze Windows Azure SQL Database

V nástroji Always Encrypted je obměna klíčů proces nahrazení existujícího hlavního klíče sloupce nebo šifrovacího klíče sloupce novým klíčem. Tento článek popisuje případy použití a důležité informace pro obměnu klíčů specifickou pro Always Encrypted se zabezpečenými enklávami v případě, že buď počáteční klíč a/nebo cílový (nový) klíč je klíčem podporujícím enklávu. Obecné pokyny a procesy pro správu klíčů Always Encrypted najdete v tématu Přehled správy klíčů pro funkci Always Encrypted.

Možná budete muset klíč otočit z důvodů zabezpečení nebo dodržování předpisů. Například pokud došlo k ohrožení zabezpečení klíče nebo zásady vaší organizace vyžadují pravidelné nahrazení klíčů. Kromě toho Always Encrypted se zabezpečenými enklávami a rotací klíče poskytuje způsob, jak povolit nebo zakázat funkcionalitu zabezpečené enklávy na straně serveru pro vaše šifrované sloupce.

• Když nahradíte klíč, který není povolen pro enklávu, klíčem povoleným pro enklávu, odemknete funkčnost zabezpečené enklávy pro dotazování na sloupce, které jsou chráněny klíčem. Další informace najdete v tématu Povolení funkce Always Encrypted se zabezpečenými enklávy pro existující šifrované sloupce.
• Když nahradíte klíč s povolenou enklávou klíčem, který není pro enklávu povolený, zakážete funkcionalitu zabezpečené enklávy pro dotazování na sloupce, které jsou chráněné klíčem.

Pokud klíč rotujete jenom z důvodů zabezpečení nebo dodržování předpisů a nechcete povolit nebo zakázat výpočty enklávy pro sloupce, ujistěte se, že má cílový klíč stejnou konfiguraci týkající se enkláv jako zdrojový klíč. Pokud je například zdrojový klíč povolený pro enklávu, měl by být cílový klíč také povolený pro enklávu.

Následující kroky zahrnují odkazy na podrobné články v závislosti na vašem scénáři obměně:

1. Zřiďte nový klíč (hlavní klíč sloupce nebo šifrovací klíč sloupce).
   • Pokud chcete zřídit nový klíč s podporou enklávy, viz téma Zřízení klíčů s podporou enklávy.
   • Pokud chcete zřídit klíč, který není povolený pro enklávy, viz Zřízení klíčů Always Encrypted pomocí SQL Server Management Studio a Zřízení klíčů Always Encrypted pomocí PowerShellu.
2. Nahraďte existující klíč novým klíčem.
   • Pokud rotujete šifrovací klíč sloupce a jak zdrojový, tak i cílový klíč mají aktivní podporu pro enklávu, můžete provést rotaci (která zahrnuje opětovné šifrování dat) přímo na místě. Další informace najdete v tématu Místní konfigurace šifrování sloupců pomocí funkce Always Encrypted se zabezpečenými enklávy.
   • Podrobné kroky pro rotaci klíčů najdete v tématu Rotace klíčů Always Encrypted pomocí SQL Server Management Studio a Rotace klíčů Always Encrypted pomocí PowerShellu.

Související obsah

• Spusťte příkazy Transact-SQL pomocí zabezpečených enkláv
• Místní konfigurace šifrování sloupců pomocí funkce Always Encrypted se zabezpečenými enklávy
• povolení funkce Always Encrypted se zabezpečenými enklávy pro existující šifrované sloupce
• Vývoj aplikací s využitím funkce Always Encrypted se zabezpečenými enklávy
• Správa klíčů pro Always Encrypted se zabezpečenou enklávou