Obracanie kluczy obsługiwanych przez enklawę

Dotyczy: SQL Server 2019 (15.x) i nowszych — wyłącznie w systemie Windows Azure SQL Database

W funkcji Always Encrypted rotacja kluczy to proces zastępowania istniejącego klucza głównego kolumny lub klucza szyfrowania kolumny nowym kluczem. W tym artykule opisano przypadki użycia i zagadnienia dotyczące rotacji kluczy specyficzne dla Always Encrypted z bezpiecznymi enklawami, gdy klucz początkowy i/lub docelowy (nowy) klucz jest kluczem z włączoną enklawą. Aby uzyskać ogólne wytyczne i procesy zarządzania kluczami Always Encrypted, zobacz Omówienie zarządzania kluczami dla usługi Always Encrypted.

Może być konieczne obracanie klucza ze względów bezpieczeństwa lub zgodności. Na przykład jeśli klucz został naruszony lub zasady organizacji wymagają okresowego zastępowania kluczy. Ponadto funkcjonalność Always Encrypted z rotacją kluczy w bezpiecznych enklawach zapewnia możliwość włączania lub wyłączania funkcjonalności bezpiecznej enklawy po stronie serwera dla zaszyfrowanych kolumn.

• Po zastąpieniu klucza, który nie jest obsługiwany przez enklawę, kluczem obsługiwanym przez enklawę, można odblokować funkcjonalność bezpiecznej enklawy do wykonywania zapytań o kolumny chronione tym kluczem. Aby uzyskać więcej informacji, zobacz Włączanie funkcji Always Encrypted z bezpiecznymi enklawami dla istniejących zaszyfrowanych kolumn.
• Po zastąpieniu klucza z obsługą enklawy kluczem, który jej nie obsługuje, funkcjonalność bezpiecznej enklawy do zapytań o kolumny chronione za pomocą klucza zostaje wyłączona.

Jeśli obracasz klucz tylko ze względów bezpieczeństwa/zachowania zgodności, a nie po to, aby włączyć lub wyłączyć obliczenia enklaw dla kolumn, upewnij się, że klucz docelowy ma taką samą konfigurację enklaw jak klucz źródłowy. Jeśli na przykład klucz źródłowy jest włączony w enklawie, klucz docelowy powinien być również włączony w enklawie.

Poniższe kroki obejmują linki do szczegółowych artykułów w zależności od scenariusza rotacji:

1. Aprowizuj nowy klucz (klucz główny kolumny lub klucz szyfrowania kolumny).
   • Aby aprovisionować nowy klucz z włączoną obsługą enklawy, zobacz Aprowizacja kluczy z obsługą enklawy.
   • Aby aprowizować klucz, który nie jest przystosowany do obsługi enklaw, zapoznaj się z "Provision Always Encrypted keys using SQL Server Management Studio" i "Provision Always encrypted keys using PowerShell".
2. Zastąp istniejący klucz nowym kluczem.
   • Jeśli rotujesz klucz szyfrowania kolumny, a zarówno klucz źródłowy, jak i klucz docelowy obsługują enklawy, możesz uruchomić rotację (która obejmuje ponowne szyfrowanie danych) w miejscu. Aby uzyskać więcej informacji, zapoznaj się z Konfiguracją szyfrowania kolumn na miejscu za pomocą Always Encrypted z bezpiecznymi enklawami.
   • Aby uzyskać szczegółowe instrukcje obracania kluczy, zobacz Obracanie kluczy Always Encrypted przy użyciu SQL Server Management Studio i Obracanie kluczy Always Encrypted przy użyciu PowerShell.

Powiązana zawartość

• instrukcje Run Transact-SQL using secure enlaves (Uruchamianie instrukcji Transact-SQL przy użyciu bezpiecznych enklaw
• Konfigurowanie szyfrowania kolumn na miejscu przy użyciu funkcji Always Encrypted z bezpiecznymi enklawami
• włącz funkcję Always Encrypted z bezpiecznymi enklawami dla istniejących zaszyfrowanych kolumn
• Opracuj aplikacje przy użyciu funkcji Always Encrypted z bezpiecznymi enklawami
• Zarządzanie kluczami dla funkcji Always Encrypted przy użyciu bezpiecznych enklaw