使用 PowerShell 配置就地列加密
适用于: SQL Server Azure SQL 数据库 Azure SQL 托管实例
本文提供使用 Set-SqlColumnEncryption cmdlet(在 SqlServer PowerShell 模块中)来设置数据库列的目标 Always Encrypted 配置的步骤。 Set-SqlColumnEncryption cmdlet 修改目标数据库的架构和存储在选定列中的数据。 可对存储在列中的数据进行加密、重新加密或解密,具体取决于列和当前加密配置的指定目标加密设置。 若要使用 enclave 触发就地加密操作,Set-SqlColumnEncryption 必须使用利用具有证明协议并选择使用证明 URL 关键字的连接字符串创建的数据库连接。
先决条件
若要设置目标加密配置,需要确保:
- 数据库中配置了一个已启用 enclave 的列加密密钥(如果要加密或重新加密列)。 有关详细信息,请参阅管理具有安全 enclave 的 Always Encrypted 的密钥。
- 已连接到启用了 Always Encrypted 并拥有连接字符串中指定的证明属性的数据库。
- 可从运行 PowerShell cmdlet 的计算机上访问要加密、重新加密或解密的每一列的列主密钥。
- 使用 SqlServer PowerShell 模块 22.0.50 或更高版本。
可用性注意事项
就地 Set-SqlColumnEncryption cmdlet 不支持联机加密。
使用脱机方法时,目标表(以及任何与目标表相关的表,例如,目标表与其具有外键关系的任何表)不可用于在操作期间写入事务。 使用脱机方法时,外键约束(CHECK 或 NOCHECK)的语义会始终保留。
如果在加密过程中无法承受停机,建议使用使用 Transact-SQL 就地配置列加密,它可支持联机加密。
安全注意事项
用于配置数据库列加密的 Set-SqlColumnEncryption cmdlet 可处理 Always Encrypted 密钥和存储在数据库列中的数据。 因此,请务必在一台安全的计算机上运行此 cmdlet。 如果你的数据库在 SQL Server 中,请不要在托管 SQL Server 实例的计算机上执行 cmdlet,而是在另一台计算机上执行。 由于 Always Encrypted 的主要目的是确保加密的敏感数据的安全(即使数据库系统遭到入侵),因此执行用于处理 SQL Server 计算机上密钥和/或敏感数据的 PowerShell 脚本可减少或抵消该功能带来的益处。
任务 | 项目 | 访问纯文本密钥/密钥存储 | 访问数据库 |
---|---|---|---|
步骤 1. 启动 PowerShell 环境并导入 SqlServer 模块。 | 导入 SqlServer 模块 | 否 | 否 |
步骤 2. 连接到服务器和数据库 | 连接到数据库 | 否 | 是 |
步骤 3. 如果列主密钥(保护要轮换的列加密密钥)存储在 Azure 密钥保管库中,请对 Azure 进行身份验证 | Connect-AzAccount | 是 | 否 |
步骤 4. 获取 Azure 密钥保管库的访问令牌。 | Get-AzAccessToken | 否 | 否 |
步骤 5。 构造一组 SqlColumnEncryptionSettings 对象,每个对象对应一个要加密、重新加密或解密的数据库列。 SqlColumnMasterKeySettings 是存在于内存中的对象(在 PowerShell 中)。 它用于指定列的目标加密方案。 | New-SqlColumnEncryptionSettings | 否 | 否 |
步骤 5。 设置所需加密配置,该配置在之前的步骤中创建的一组 SqlColumnMasterKeySettings 对象中指定。 根据指定的目标设置和列的当前加密配置,将加密、重新加密或解密列。 | Set-SqlColumnEncryption 注意: 此步骤可能需要较长时间。 应用程序无法通过整个操作或部分操作访问表,具体视你选择的方法(联机与脱机)而定。 |
是 | 是 |
使用 VBS enclave 加密列
下面的示例演示如何为多个列设置目标加密配置。 任何尚未加密的列将会被加密。 如果已使用不同密钥和/或不同加密类型加密了任何列,则将先进行解密,然后按照指定目标密钥/类型进行加密。 VBS enclave 当前不支持证明。 EnclaveAttestationProtocol 参数应设置为 None,且不需要 EnclaveAttestationUrl。
# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0
#Connect to Azure
Connect-AzAccount
# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token
# Connect to your database.
$serverName = "<servername>.database.windows.net"
$databaseName = "<DatabaseName>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + "; Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr
# Encrypt the selected columns (or re-encrypt, if they are already encrypted using keys/encrypt types, different than the specified keys/types.
$ces = @()
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.SSN" -EncryptionType "Randomized" -EncryptionKey "CEK"
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey "CEK"
Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory . -EnclaveAttestationProtocol "None" -KeyVaultAccessToken $keyVaultAccessToken
解密列 - 示例
下面的示例演示如何解密数据库中当前已加密的所有列。
# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0
#Connect to Azure
Connect-AzAccount
# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token
# Connect to your database.
$serverName = "<server name>"
$databaseName = "<database name>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + "; Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr
# Find all encrypted columns, and create a SqlColumnEncryptionSetting object for each column.
$ces = @()
$tables = $database.Tables
for($i=0; $i -lt $tables.Count; $i++){
$columns = $tables[$i].Columns
for($j=0; $j -lt $columns.Count; $j++) {
if($columns[$j].isEncrypted) {
$threeColPartName = $tables[$i].Schema + "." + $tables[$i].Name + "." + $columns[$j].Name
$ces += New-SqlColumnEncryptionSettings -ColumnName $threeColPartName -EncryptionType "Plaintext"
}
}
}
# Decrypt all columns.
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces -InputObject $database -LogFileDirectory . -EnclaveAttestationProtocol "None" -KeyVaultAccessToken $keyVaultAccessToken
使用 SGX enclave 加密列
下面的示例演示如何为多个列设置目标加密配置。 任何尚未加密的列将会被加密。 如果已使用不同密钥和/或不同加密类型加密了任何列,则将先进行解密,然后按照指定目标密钥/类型进行加密。 若要使用 enclave 触发就地加密操作,则需要 EnclaveAttestationProtocol 和 EnclaveAttestationUrl 参数。
# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0
#Connect to Azure
Connect-AzAccount
# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token
# Connect to your database.
$serverName = "<servername>.database.windows.net"
$databaseName = "<DatabaseName>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + "; Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr
# Encrypt the selected columns (or re-encrypt, if they are already encrypted using keys/encrypt types, different than the specified keys/types.
$ces = @()
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.SSN" -EncryptionType "Randomized" -EncryptionKey "CEK"
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey "CEK"
Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory . -EnclaveAttestationProtocol "AAS" -EnclaveAttestationURL "https://<attestationURL>" -KeyVaultAccessToken $keyVaultAccessToken
解密列 - 示例
下面的示例演示如何解密数据库中当前已加密的所有列。
# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0
#Connect to Azure
Connect-AzAccount
# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token
# Connect to your database.
$serverName = "<server name>"
$databaseName = "<database name>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + "; Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr
# Find all encrypted columns, and create a SqlColumnEncryptionSetting object for each column.
$ces = @()
$tables = $database.Tables
for($i=0; $i -lt $tables.Count; $i++){
$columns = $tables[$i].Columns
for($j=0; $j -lt $columns.Count; $j++) {
if($columns[$j].isEncrypted) {
$threeColPartName = $tables[$i].Schema + "." + $tables[$i].Name + "." + $columns[$j].Name
$ces += New-SqlColumnEncryptionSettings -ColumnName $threeColPartName -EncryptionType "Plaintext"
}
}
}
# Decrypt all columns.
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces -InputObject $database -LogFileDirectory . -EnclaveAttestationProtocol "AAS" -EnclaveAttestationURL "https://<attestationURL>" -KeyVaultAccessToken $keyVaultAccessToken