Gestione di chiavi di crittografia dell'istanza (XMLA)
È possibile utilizzare il comando SetEncryptionKey disponibile in XML for Analysis (XMLA) per impostare o reimpostare la chiave di crittografia dell'istanza per un'istanza di MicrosoftSQL ServerAnalysis Services.
Nota sulla protezione |
---|
Solo gli amministratori del server possono eseguire il comando SetEncryptionKey. |
La chiave di crittografia dell'istanza può essere decrittografata solo dallo stesso account utilizzato per crittografarla. Di conseguenza la chiave di crittografia dell'istanza deve essere decrittografata e recuperata prima che venga modificato l'account del servizio utilizzato dall'istanza di Analysis Services e successivamente deve essere crittografata dopo che l'account del servizio è stato modificato. In caso contrario l'istanza non può più decrittografare le chiavi di crittografia del database, che a loro volta crittografano e decrittografano informazioni riservate, ad esempio le password per le origini dati, archiviate nel database.
Per modificare correttamente l'account del servizio per un'istanza di Analysis Services, è necessario effettuare le operazioni seguenti:
Chiamare il metodo Discover XMLA per decrittografare la chiave di crittografia dell'istanza esistente e recuperare il set di righe dello schema DISCOVER_MASTER_KEY.
Nota sulla protezione Solo gli amministratori del server possono recuperare il set di righe dello schema DISCOVER_MASTER_KEY.
Modificare l'account del servizio per l'istanza di Analysis Services.
Utilizzare il comando SetEncryptionKey per crittografare la chiave di crittografia dell'istanza recuperata utilizzando il nuovo account del servizio.
Se si modifica l'account del servizio senza prima recuperare la chiave di crittografia dell'istanza, l'istanza di Analysis Services non può più leggere informazioni crittografate nei database di tale istanza e si verifica un errore. Per correggere questo problema, è possibile impostare nuovamente l'account del servizio sull'account utente precedentemente specificato, quindi eseguire le operazioni precedenti per modificare correttamente l'account del servizio.
Specifica della chiave di crittografia
La proprietà Key del comando SetEncryptionKey contiene una rappresentazione stringa della chiave di crittografia. La proprietà Key deve essere impostata sul valore della colonna KEY nel set di righe dello schema DISCOVER_MASTER_KEY recuperato prima della modifica dell'account del servizio per l'istanza di Analysis Services.
Reimpostazione della chiave di crittografia
È possibile reimpostare la chiave di crittografia tramite il comando SetEncryptionKey. Per reimpostare la chiave di crittografia, impostare l'attributo Reset del comando SetEncryptionKey su true. Analysis Services reimposta la chiave di crittografia dell'istanza tramite le azioni seguenti:
Decrittografia della chiave di crittografia dell'istanza, delle chiavi di crittografia del database e delle informazioni riservate contenute nei database in tale istanza.
Modifica del valore della chiave di crittografia dell'istanza.
Crittografia di tutti gli elementi tramite la nuova chiave di crittografia dell'istanza.
L'account del servizio corrente per l'istanza di Analysis Services viene utilizzato per decrittografare la chiave di crittografia utilizzata in precedenza e per crittografare la nuova chiave di crittografia dell'istanza. Quando si reimposta la chiave di crittografia dell'istanza, non specificare un valore per la proprietà Key del comando.
Esempi
Descrizione
Nell'esempio seguente viene impostata la chiave di crittografia dell'istanza sul valore specificato in Key.
Codice
<SetEncryptionKey xmlns="https://schemas.microsoft.com/analysisservices/2003/engine">
<Key>
BSyB3nTLvkCR3GwLwMNAyQEAAAAEAAAA/////wECAAAJZgAAAKQAAEAcOEA0JbXfBxXfL+l/0BMA
ylnQiDhI9Fgm/QoOAR3NIikzEQPPBNOGSILZfVQqPUiBXuSBnrR/VUI6pLa9AgAFLIHedMu+QJHc
bAvAw0DJ
</Key>
</SetEncryptionKey>
Descrizione
Nell'esempio seguente viene reimpostata la chiave di crittografia dell'istanza.
Codice
<SetEncryptionKey Reset="true" xmlns="https://schemas.microsoft.com/analysisservices/2003/engine" />