Rotera enklaveraktiverade nycklar

gäller för: SQL Server 2019 (15.x) och senare – Windows endast Azure SQL Database

I Always Encrypted är en nyckelrotation en process för att ersätta en befintlig kolumnhuvudnyckel eller en kolumnkrypteringsnyckel med en ny nyckel. I den här artikeln beskrivs användningsfall och överväganden för nyckelrotation som är specifika för Always Encrypted med säkra enklaver när antingen den inledande nyckeln och/eller målnyckeln (den nya) är en enklavaktiverad nyckel. Allmänna riktlinjer och processer för hantering av Always Encrypted-nycklar finns i Översikt över nyckelhantering för Always Encrypted-.

Du kan behöva rotera en nyckel av säkerhetsskäl. Om en nyckel till exempel har komprometterats eller om organisationens principer kräver att du byter ut nycklar med jämna mellanrum. Dessutom ger Always Encrypted med säker enklaver nyckelrotation ett sätt att aktivera eller inaktivera funktionerna i den säkra enklaven på serversidan för dina krypterade kolumner.

• När du ersätter en nyckel som inte är enklavaktiverad med en enklavaktiverad nyckel låser du upp funktionerna i den säkra enklaven för att fråga efter kolumner som skyddas med nyckeln. Mer information finns i Aktivera Always Encrypted med säkra enklaver för befintliga krypterade kolumner.
• När du ersätter en enklavaktiverad nyckel med en nyckel som inte är enklavaktiverad inaktiverar du funktionen för den säkra enklaven för att fråga efter kolumner som skyddas med nyckeln.

Om du roterar en nyckel endast av säkerhetsskäl och inte aktiverar eller inaktiverar enklaverberäkningar för dina kolumner kontrollerar du att målnyckeln har samma konfiguration för enklaver som källnyckeln. Om källnyckeln till exempel är enklavaktiverad bör målnyckeln också vara enklavaktiverad.

Stegen nedan innehåller länkar till detaljerade artiklar, beroende på ditt rotationsscenario:

1. Etablera en ny nyckel (en kolumnhuvudnyckel eller en kolumnkrypteringsnyckel).
   • Information om hur du etablerar en ny enklavaktiverad nyckel finns i Etablera enklaveraktiverade nycklar.
   • Information om hur du etablerar en nyckel som inte är enklav aktiverad finns i Etablera Always Encrypted-nycklar med SQL Server Management Studio och Etablera alltid krypterade nycklar med PowerShell.
2. Ersätt en befintlig nyckel med den nya nyckeln.
   • Om du roterar en kolumnkrypteringsnyckel och både källnyckeln och målnyckeln är enklaveraktiverade kan du köra rotationen (vilket innebär att kryptera om dina data) på plats. Mer information finns i Konfigurera kolumnkryptering direkt med Always Encrypted och säkra enklaver.
   • Detaljerade steg för att rotera nycklar finns i Rotera Always Encrypted-nycklar med SQL Server Management Studio och Rotera Always Encrypted-nycklar med PowerShell.

Relaterat innehåll

• Kör Transact-SQL-instruktioner med hjälp av säkra enklaver
• Konfigurera kolumnkryptering på plats med Always Encrypted med säkra enklaver
• Aktivera Always Encrypted med säkra enklaver för befintliga krypterade kolumner
• Utveckla program med Always Encrypted med säkra enklaver
• Hantera nycklar för Always Encrypted med säkra enklaver