Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
SQL Server 2019 (15.x) и более поздних версий — только Windows База данных SQL Azure
Смена ключа в Always Encrypted — это процесс замены существующего главного ключа столбца или ключа шифрования столбца новым ключом. В этой статье описываются варианты использования и рассматриваются вопросы, связанные со сменой ключей для Always Encrypted с безопасным анклавом, когда исходный или целевой (новый) ключ является ключом с поддержкой анклава. Общие рекомендации и процессы управления ключами Always Encrypted см. в статье Общие сведения об управлении ключами для Always Encrypted.
Смена ключа может потребоваться в целях обеспечения безопасности или соответствия требованиям. Например, смена ключа необходима в случае его компрометации или периодическая замена ключей выполняется в соответствии с политиками организации. Кроме того, Always Encrypted с безопасными анклавами и сменой ключей предоставляет возможность включать или отключать функции серверного безопасного анклава для зашифрованных столбцов.
- При замене ключа без поддержки анклава на ключ с поддержкой анклава происходит разблокировка функциональных возможностей безопасного анклава для выполнения запросов к столбцам, защищенным с помощью ключа. Дополнительные сведения см. в статье Включение Always Encrypted с безопасными анклавами для существующих зашифрованных столбцов.
- При замене ключа с поддержкой анклава на ключ без поддержки анклава происходит отключение функциональных возможностей безопасного анклава для выполнения запросов к столбцам, защищенным с помощью ключа.
Если смена ключа осуществляется только в целях обеспечения безопасности или соответствия требованиям без включения или отключения вычислений анклава для столбцов, целевой ключ должен иметь ту же конфигурацию анклавов, что и исходный ключ. Например, если исходный ключ поддерживает анклав, целевой ключ также должен поддерживать анклав.
В зависимости от сценария ротации выполните приведенные ниже действия, которые содержат ссылки на подробные статьи.
- Подготовьте новый ключ (главный ключ столбца или ключ шифрования столбца).
- Чтобы подготовить новый ключ с поддержкой анклава, см. Подготовка ключей с поддержкой анклава.
- Сведения о подготовке ключа без поддержки в анклава см. в статьях Подготовка ключей Always Encrypted с помощью SQL Server Management Studio и Подготовка ключей Always Encrypted с помощью PowerShell.
- Замените существующий ключ новым ключом.
- Если исходный и целевой ключи поддерживают работу в анклаве, можно выполнить смену ключа шифрования столбца (которая предполагает повторное шифрование данных) в том же месте. Дополнительные сведения см. в статье Настройка шифрования столбцов на месте с помощью Always Encrypted с безопасными анклавами.
- Подробные инструкции по смене ключей см. в статьях Смена ключей Always Encrypted с помощью SQL Server Management Studio и Смена ключей Always Encrypted с помощью PowerShell.
Связанное содержимое
- Выполнение инструкций Transact-SQL с помощью безопасных анклавов
- Настройка шифрования столбцов непосредственно в системе с использованием Always Encrypted и безопасных анклавов
- Включите Always Encrypted с безопасными анклавами для существующих зашифрованных столбцов
- Разработка приложений с помощью Always Encrypted с безопасными анклавами
- Управление ключами для функции Always Encrypted с использованием безопасных анклавов