Compartir a través de


Rotación de claves habilitadas para el enclave

Se aplica a: SQL Server 2019 (15.x) y versiones posteriores: solo Windows Azure SQL Database

En Always Encrypted, la rotación de claves es un proceso por el cual se reemplaza una clave maestra de columna existente o una clave de cifrado de columna por una clave nueva. En este artículo se describen los casos de uso y las consideraciones para la rotación de claves específica de Always Encrypted con enclaves seguros cuando la clave inicial o la clave de destino (nueva) es una clave habilitada para el enclave. Para obtener las instrucciones generales y los procesos para administrar claves de Always Encrypted, consulte Información general de administración de claves de Always Encrypted.

Es posible que necesite rotar una clave por motivos de seguridad o de cumplimiento. Por ejemplo, si se ha puesto en peligro una clave o las directivas de su organización requieren que reemplace las claves periódicamente. Además, Always Encrypted con la rotación de claves de enclaves seguros proporciona una manera de habilitar o deshabilitar la funcionalidad de los enclave seguros del lado servidor para las columnas cifradas.

  • Cuando se reemplaza una clave que no está habilitada para el enclave con una clave habilitada para el enclave, se desbloquea la funcionalidad del enclave seguro para realizar consultas en columnas protegidas con la clave. Para obtener más información, vea Habilitación de Always Encrypted con enclaves seguros para las columnas cifradas existentes.
  • Cuando se reemplaza una clave habilitada para el enclave con una clave que no lo está, se deshabilita la funcionalidad del enclave seguro para realizar consultas en las columnas que están protegidas con la clave.

Si va a rotar una clave solo por motivos de seguridad o cumplimiento, y no para habilitar o deshabilitar los cálculos de enclave para las columnas, asegúrese de que la clave de destino tiene la misma configuración relativa a los enclaves que la clave de origen. Por ejemplo, si la clave de origen está habilitada para el enclave, la clave de destino también debe estarlo.

En los pasos siguientes se incluyen vínculos a artículos detallados, en función del escenario de rotación:

  1. Aprovisione una nueva clave (una clave maestra de columna o una clave de cifrado de columna).
  2. Reemplace una clave existente por la nueva clave.

Pasos siguientes

Consulte también