Udostępnij za pośrednictwem

Aprowizuj klucze Always Encrypted przy użyciu programu SQL Server Management Studio

  • Artykuł

Dotyczy:SQL ServerAzure SQL DatabaseAzure SQL Managed Instance

Ten artykuł zawiera kroki aprowizacji kluczy głównych kolumn i kluczy szyfrowania kolumn dla funkcji Always Encrypted przy użyciu programu SQL Server Management Studio (SSMS). Upewnij się, że podczas aprowizowania kluczy szyfrowania zainstalowano najnowszą ogólnie dostępną (GA) wersję SSMS.

Aby zapoznać się z omówieniem zarządzania kluczami Always Encrypted, w tym zaleceniami dotyczącymi najlepszych rozwiązań i ważnymi zagadnieniami dotyczącymi zabezpieczeń, zobacz Omówienie zarządzania kluczami dla usługi Always Encrypted.

Konfiguruj klucze główne kolumn za pomocą okna dialogowego Nowy klucz główny kolumny

Okno dialogowe Nowy klucz główny kolumny umożliwia wygenerowanie klucza głównego kolumny lub wybranie istniejącego klucza w magazynie kluczy oraz utworzenie metadanych klucza głównego kolumny dla utworzonego lub wybranego klucza w bazie danych.

  1. Za pomocą eksploratora obiektów przejdź do węzła Security —> Always Encrypted Keys w bazie danych.

  2. Kliknij prawym przyciskiem myszy węzeł Klucze Wzorca Kolumny i wybierz Nowy Klucz Główny Kolumny....

  3. W oknie dialogowym Nowy klucz główny kolumny wprowadź nazwę obiektu metadanych klucza głównego kolumny.

  4. Wybierz magazyn kluczy:

    • Magazyn certyfikatów — bieżący użytkownik — wskazuje lokalizację magazynu certyfikatów dla bieżącego użytkownika w magazynie certyfikatów systemu Windows, który jest Twoim magazynem osobistym.

    • Magazyn certyfikatów - komputer lokalny - określa lokalizację magazynu certyfikatów komputera lokalnego w magazynie certyfikatów systemu Windows.

    • Azure Key Vault — musisz zalogować się do platformy Azure (kliknij Zaloguj się). Po zalogowaniu możesz wybrać jedną z subskrypcji Azure oraz magazyn kluczy lub zarządzany moduł HSM (wymaga SSMS 18.9 lub nowszego).

      Notatka

      Używanie kluczy wzorcowych kolumn przechowywanych w zarządzanym modulem HSM w usłudze Azure Key Vault wymaga SSMS 18.9 lub nowszej wersji.

    • dostawca magazynu kluczy (KSP) — wskazuje magazyn kluczy dostępny za pośrednictwem dostawcy magazynu kluczy, który implementuje interfejs API kryptografii następnej generacji (CNG). Zazwyczaj ten typ magazynu jest sprzętowym modułem zabezpieczeń (HSM). Po wybraniu tej opcji należy wybrać dostawcę KSP. Dostawca magazynu kluczy oprogramowania Microsoft jest domyślnie wybierany. Jeśli chcesz użyć klucza głównego kolumny przechowywanego w module HSM, wybierz dostawcę kluczy dla urządzenia (przed otwarciem okna dialogowego należy go zainstalować i skonfigurować na komputerze).

    • dostawca usług kryptograficznych (CSP) — magazyn kluczy dostępny za pośrednictwem dostawcy usług kryptograficznych (CSP), który implementuje interfejs API kryptografii (CAPI). Zazwyczaj taki magazyn jest sprzętowym modułem zabezpieczeń (HSM). Po wybraniu tej opcji należy wybrać dostawcę CSP. Jeśli chcesz użyć klucza głównego kolumny przechowywanego w module HSM, wybierz dostawcę CSP dla urządzenia (przed otwarciem okna dialogowego należy go zainstalować i skonfigurować na komputerze).

    Notatka

    Ponieważ interfejs CAPI jest przestarzałym interfejsem API, opcja Dostawcy usług kryptograficznych (CAPI) jest domyślnie wyłączona. Możesz włączyć, tworząc w rejestrze systemu Windows wartość DWORD o nazwie "CAPI Provider Enabled" pod kluczem [HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\sql13\Tools\Client\Always Encrypted] i ustawiając jej wartość na 1. Należy użyć CNG zamiast CAPI, chyba że magazyn kluczy nie obsługuje CNG.

    Aby uzyskać więcej informacji na temat powyższych magazynów kluczy, zobacz Tworzenie i przechowywanie kluczy głównych kolumn dla funkcji Always Encrypted.

  5. Jeśli używasz programu SQL Server 2019 (15.x) i wystąpienie programu SQL Server jest skonfigurowane z wykorzystaniem bezpiecznej enklawy, możesz zaznaczyć pole wyboru "Zezwalaj na obliczenia enklawy" , aby włączyć wsparcie enklawy dla klucza głównego. Aby uzyskać szczegółowe informacje, zobacz Always Encrypted z bezpiecznymi enklawami.

    Notatka

    Pole wyboru Zezwól na obliczenia enklawy nie jest wyświetlane, jeśli instancja SQL Server nie jest poprawnie skonfigurowana z bezpieczną enklawą.

  6. Wybierz istniejący klucz w magazynie kluczy lub kliknij przycisk Generuj klucz lub Wygeneruj certyfikat, aby utworzyć klucz w magazynie kluczy.

  7. Kliknij przycisk OK, a nowy klucz pojawi się na liście.

Po zakończeniu okna dialogowego program SQL Server Management Studio tworzy metadane dla klucza głównego kolumny w bazie danych. Okno dialogowe generuje i wydaje instrukcję CREATE COLUMN MASTER KEY (Transact-SQL) .

Jeśli konfigurujesz klucz główny kolumny z obsługą enklawy, program SSMS podpisuje również metadane przy użyciu klucza głównego kolumny.

Uprawnienia do konfigurowania klucza głównego kolumny

Potrzebujesz ALTER ANY COLUMN MASTER KEY uprawnienia bazy danych w bazie danych okna dialogowego, aby utworzyć klucz główny kolumny. Potrzebujesz również uprawnień do magazynu kluczy, aby uzyskać dostęp do klucza głównego kolumny kluczy oraz z niego korzystać. Aby uzyskać szczegółowe informacje na temat uprawnień do magazynu kluczy wymaganych w operacjach zarządzania kluczami, zobacz Tworzenie i przechowywanie kluczy głównych kolumn dla Always Encrypted i zapoznaj się z sekcją odpowiednią dla twojego magazynu kluczy.

Konfiguruj klucze szyfrowania kolumn za pomocą okna dialogowego "Nowy klucz szyfrowania kolumny"

Okno dialogowe Nowy klucz szyfrowania kolumny umożliwia wygenerowanie klucza szyfrowania kolumny, zaszyfrowanie go przy użyciu klucza głównego kolumny i utworzenie metadanych klucza szyfrowania kolumny w bazie danych.

  1. Za pomocą eksploratora obiektów przejdź do folderu Security/Always Encrypted Keys w bazie danych.
  2. Kliknij prawym przyciskiem myszy folder Klucze szyfrowania kolumny i wybierz pozycję Nowy klucz szyfrowania kolumny....
  3. W oknie dialogowym Nowy Klucz Szyfrowania Kolumny wprowadź nazwę obiektu metadanych dla klucza szyfrowania kolumny.
  4. Wybierz obiekt metadanych reprezentujący klucz główny kolumny w bazie danych.
  5. Kliknij przycisk OK.

Po zakończeniu okna dialogowego program SQL Server Management Studio (SSMS) generuje nowy klucz szyfrowania kolumny. Program SSMS pobiera następnie metadane klucza głównego kolumny wybranego z bazy danych. Program SSMS następnie używa metadanych klucza głównego kolumny do kontaktu z magazynem kluczy zawierającym klucz główny kolumny i szyfruje klucz szyfrowania kolumny. Na koniec program SSMS tworzy dane metadanych dla nowego szyfrowania kolumn w bazie danych, generując i wydając instrukcję CREATE COLUMN ENCRYPTION KEY (Transact-SQL ).

Notatka

Używanie kluczy wzorca kolumn przechowywanych w zarządzanym modułu HSM w usłudze Azure Key Vault wymaga programu SSMS 18.9 lub nowszej wersji.

Uprawnienia do konfigurowania klucza szyfrowania kolumny

Potrzebujesz uprawnień bazy danych ALTER ANY COLUMN ENCRYPTION KEY oraz VIEW ANY COLUMN MASTER KEY DEFINITION, aby w bazie danych utworzyć metadane klucza szyfrowania kolumny i uzyskać dostęp do metadanych klucza głównego kolumny. Potrzebujesz również uprawnień sklepu kluczy, aby uzyskać dostęp do klucza głównego kolumny i móc go używać. Aby uzyskać szczegółowe informacje na temat uprawnień magazynu kluczy wymaganych do operacji zarządzania kluczami, przejdź do Tworzenie i przechowywanie kluczy głównych kolumn dla usługi Always Encrypted i znajdź odpowiednią sekcję dla swojego magazynu kluczy.

Aprowizuj klucze Always Encrypted przy użyciu Kreatora Always Encrypted

Kreator Always Encrypted to narzędzie do szyfrowania, odszyfrowywania i ponownego szyfrowania wybranych kolumn bazy danych. Chociaż może używać już skonfigurowanych kluczy, umożliwia również wygenerowanie nowego klucza głównego kolumny i nowego szyfrowania kolumny.

Następne kroki

Zobacz też