Gerenciando chaves de criptografia de instância (XMLA)
Você pode usar o comando SetEncryptionKey no XMLA (XML for Analysis) para definir ou reiniciar a chave de criptografia de instância para uma instância do MicrosoftSQL ServerAnalysis Services.
.gif "Observação sobre segurança") Observação sobre segurança |
|---|
Somente os administradores do servidor podem executar o comando SetEncryptionKey. |
A chave de criptografia de instância só pode ser descriptografada pela mesma conta usada na criptografia da chave. Dessa forma, a chave de criptografia de instância deve ser descriptografada e recuperada antes da alteração da conta de serviço usada pela instância do Analysis Services e então criptografada logo após a alteração da conta de serviço. Caso contrário, a instância não poderá mais descriptografar as chaves de criptografia do banco de dados que, por sua vez, criptografar e descriptografar segredos (como as senhas de fontes de dados) armazenados no banco de dados.
Para alterar a conta de serviço corretamente para uma instância do Analysis Services, execute as etapas a seguir:
Chame o método Discover XMLA para descriptografar a chave de criptografia de instância existente e para recuperar o conjunto de linhas do esquema DISCOVER_MASTER_KEY.
Observação sobre segurançaSomente os administradores do servidor podem recuperar o conjunto de linhas do esquema DISCOVER_MASTER_KEY.
Altere a conta de serviço para a instância do Analysis Services.
Use o comando SetEncryptionKey para criptografar a chave de criptografia de instância recuperada com a nova conta de serviço.
Se você alterar a conta de serviço sem recuperar a chave de criptografia de instância primeiro, a instância do Analysis Services não poderá mais ler as informações criptografadas em seus bancos de dados e ocorrerão erros. Para corrigir esse problema, altere a conta de serviço novamente para a conta de usuário especificada anteriormente e execute o processo anterior para alterar a conta de serviço de forma apropriada.
Especificando a chave de criptografia
A propriedade Key do comando SetEncryptionKey contém uma representação de cadeia de caracteres da chave de criptografia. A propriedade Key deve ser definida com o valor da coluna KEY do conjunto de linhas do esquema DISCOVER_MASTER_KEY recuperado antes da alteração da conta de serviço da instância do Analysis Services.
Redefinindo a chave de criptografia
Você também pode redefinir a chave de criptografia que usa o comando SetEncryptionKey. Para redefinir a chave de criptografia, defina o atributo Reset do comando SetEncryptionKey como verdadeiro. O Analysis Services redefine a chave de criptografia de instância ao executar as seguintes ações:
Descriptografa a chave de criptografia de instância, chaves de criptografia de banco de dados e segredos contidos em bancos de dados da instância.
Altera o valor da chave de criptografia de instância.
Criptografa tudo com a nova chave de criptografia de instância.
A conta de serviço atual para a instância do Analysis Services é usada para descriptografar a chave de criptografia de instância antiga e para criptografar a nova chave de criptografia de instância. Ao redefinir a chave de criptografia de instância, não especifique um valor para a propriedade Key do comando.
Exemplos
Descrição
O exemplo a seguir define a chave de criptografia de instância com o valor especificado em Key.
Código
<SetEncryptionKey xmlns="https://schemas.microsoft.com/analysisservices/2003/engine">
<Key>
BSyB3nTLvkCR3GwLwMNAyQEAAAAEAAAA/////wECAAAJZgAAAKQAAEAcOEA0JbXfBxXfL+l/0BMA
ylnQiDhI9Fgm/QoOAR3NIikzEQPPBNOGSILZfVQqPUiBXuSBnrR/VUI6pLa9AgAFLIHedMu+QJHc
bAvAw0DJ
</Key>
</SetEncryptionKey>
Descrição
O exemplo a seguir redefine a chave de criptografia de instância.
Código
<SetEncryptionKey Reset="true" xmlns="https://schemas.microsoft.com/analysisservices/2003/engine" />