使用 PowerShell 配置就地列加密

适用于： SQL Server Azure SQL 数据库 Azure SQL 托管实例

本文提供使用 Set-SqlColumnEncryption cmdlet（在 SqlServer PowerShell 模块中）来设置数据库列的目标 Always Encrypted 配置的步骤。 Set-SqlColumnEncryption cmdlet 修改目标数据库的架构和存储在选定列中的数据。 可对存储在列中的数据进行加密、重新加密或解密，具体取决于列和当前加密配置的指定目标加密设置。 若要使用 enclave 触发就地加密操作，Set-SqlColumnEncryption 必须使用利用具有证明协议并选择使用证明 URL 关键字的连接字符串创建的数据库连接。

先决条件

若要设置目标加密配置，需要确保：

• 数据库中配置了一个已启用 enclave 的列加密密钥（如果要加密或重新加密列）。 有关详细信息，请参阅管理具有安全 enclave 的 Always Encrypted 的密钥。
• 已连接到启用了 Always Encrypted 并拥有连接字符串中指定的证明属性的数据库。
• 可从运行 PowerShell cmdlet 的计算机上访问要加密、重新加密或解密的每一列的列主密钥。
• 使用 SqlServer PowerShell 模块 22.0.50 或更高版本。

可用性注意事项

就地 Set-SqlColumnEncryption cmdlet 不支持联机加密。

使用脱机方法时，目标表（以及任何与目标表相关的表，例如，目标表与其具有外键关系的任何表）不可用于在操作期间写入事务。 使用脱机方法时，外键约束（CHECK 或 NOCHECK）的语义会始终保留。

如果在加密过程中无法承受停机，建议使用使用 Transact-SQL 就地配置列加密，它可支持联机加密。

安全注意事项

用于配置数据库列加密的 Set-SqlColumnEncryption cmdlet 可处理 Always Encrypted 密钥和存储在数据库列中的数据。 因此，请务必在一台安全的计算机上运行此 cmdlet。 如果你的数据库在 SQL Server 中，请不要在托管 SQL Server 实例的计算机上执行 cmdlet，而是在另一台计算机上执行。 由于 Always Encrypted 的主要目的是确保加密的敏感数据的安全（即使数据库系统遭到入侵），因此执行用于处理 SQL Server 计算机上密钥和/或敏感数据的 PowerShell 脚本可减少或抵消该功能带来的益处。

任务	文章	访问纯文本密钥/密钥存储	访问数据库
步骤 1. 启动 PowerShell 环境并导入 SqlServer 模块。	导入 SqlServer 模块	否	否
步骤 2. 连接到服务器和数据库	连接到数据库	否	是
步骤 3. 如果列主密钥（保护要轮换的列加密密钥）存储在 Azure 密钥保管库中，请对 Azure 进行身份验证	Connect-AzAccount	是	否
步骤 4. 获取 Azure 密钥保管库的访问令牌。	Get-AzAccessToken	否	否
步骤 5。 构造一组 SqlColumnEncryptionSettings 对象，每个对象对应一个要加密、重新加密或解密的数据库列。 SqlColumnMasterKeySettings 是存在于内存中的对象（在 PowerShell 中）。 它用于指定列的目标加密方案。	New-SqlColumnEncryptionSettings	否	否
步骤 5。 设置所需加密配置，该配置在之前的步骤中创建的一组 SqlColumnMasterKeySettings 对象中指定。 根据指定的目标设置和列的当前加密配置，将加密、重新加密或解密列。	Set-SqlColumnEncryption 注意： 此步骤可能需要较长时间。 应用程序无法通过整个操作或部分操作访问表，具体视你选择的方法（联机与脱机）而定。	是	是

使用 VBS enclave 加密列

下面的示例演示如何为多个列设置目标加密配置。 任何尚未加密的列将会被加密。 如果已使用不同密钥和/或不同加密类型加密了任何列，则将先进行解密，然后按照指定目标密钥/类型进行加密。 VBS enclave 当前不支持证明。 EnclaveAttestationProtocol 参数应设置为 None，且不需要 EnclaveAttestationUrl。

# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0

#Connect to Azure
Connect-AzAccount

# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token  

# Connect to your database.
$serverName = "<servername>.database.windows.net"
$databaseName = "<DatabaseName>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + ";  Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr

# Encrypt the selected columns (or re-encrypt, if they are already encrypted using keys/encrypt types, different than the specified keys/types.
$ces = @() 
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.SSN" -EncryptionType "Randomized" -EncryptionKey "CEK" 
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey "CEK" 
Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory . -EnclaveAttestationProtocol "None" -KeyVaultAccessToken $keyVaultAccessToken

解密列 - 示例

下面的示例演示如何解密数据库中当前已加密的所有列。

# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0

#Connect to Azure
Connect-AzAccount

# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token  

# Connect to your database.
$serverName = "<server name>"
$databaseName = "<database name>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + "; Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr

# Find all encrypted columns, and create a SqlColumnEncryptionSetting object for each column.
$ces = @()
$tables = $database.Tables
for($i=0; $i -lt $tables.Count; $i++){
    $columns = $tables[$i].Columns
    for($j=0; $j -lt $columns.Count; $j++) {
        if($columns[$j].isEncrypted) {
            $threeColPartName = $tables[$i].Schema + "." + $tables[$i].Name + "." + $columns[$j].Name 
            $ces += New-SqlColumnEncryptionSettings -ColumnName $threeColPartName -EncryptionType "Plaintext" 
        }
    }
}

# Decrypt all columns.
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces -InputObject $database -LogFileDirectory . -EnclaveAttestationProtocol "None" -KeyVaultAccessToken $keyVaultAccessToken

使用 SGX enclave 加密列

下面的示例演示如何为多个列设置目标加密配置。 任何尚未加密的列将会被加密。 如果已使用不同密钥和/或不同加密类型加密了任何列，则将先进行解密，然后按照指定目标密钥/类型进行加密。 若要使用 enclave 触发就地加密操作，则需要 EnclaveAttestationProtocol 和 EnclaveAttestationUrl 参数。

# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0

#Connect to Azure
Connect-AzAccount

# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token  

# Connect to your database.
$serverName = "<servername>.database.windows.net"
$databaseName = "<DatabaseName>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + ";  Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr

# Encrypt the selected columns (or re-encrypt, if they are already encrypted using keys/encrypt types, different than the specified keys/types.
$ces = @() 
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.SSN" -EncryptionType "Randomized" -EncryptionKey "CEK" 
$ces += New-SqlColumnEncryptionSettings -ColumnName "dbo.Employees.Salary" -EncryptionType "Randomized" -EncryptionKey "CEK" 
Set-SqlColumnEncryption -InputObject $database -ColumnEncryptionSettings $ces -LogFileDirectory . -EnclaveAttestationProtocol "AAS" -EnclaveAttestationURL "https://<attestationURL>"   -KeyVaultAccessToken $keyVaultAccessToken

解密列 - 示例

下面的示例演示如何解密数据库中当前已加密的所有列。

# Import modules
Import-Module "SqlServer" -MinimumVersion 22.0.50
Import-Module Az.Accounts -MinimumVersion 2.2.0

#Connect to Azure
Connect-AzAccount

# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token  

# Connect to your database.
$serverName = "<server name>"
$databaseName = "<database name>"
# Change the authentication method in the connection string, if needed.
$connStr = "Server = " + $serverName + "; Database = " + $databaseName + "; Integrated Security = True"
$database = Get-SqlDatabase -ConnectionString $connStr

# Find all encrypted columns, and create a SqlColumnEncryptionSetting object for each column.
$ces = @()
$tables = $database.Tables
for($i=0; $i -lt $tables.Count; $i++){
    $columns = $tables[$i].Columns
    for($j=0; $j -lt $columns.Count; $j++) {
        if($columns[$j].isEncrypted) {
            $threeColPartName = $tables[$i].Schema + "." + $tables[$i].Name + "." + $columns[$j].Name 
            $ces += New-SqlColumnEncryptionSettings -ColumnName $threeColPartName -EncryptionType "Plaintext" 
        }
    }
}

# Decrypt all columns.
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces -InputObject $database -LogFileDirectory . -EnclaveAttestationProtocol "AAS" -EnclaveAttestationURL "https://<attestationURL>" -KeyVaultAccessToken $keyVaultAccessToken

后续步骤

• 使用具有安全 enclave 的 Always Encrypted 开发应用程序

另请参阅

• 具有安全 Enclave 的 Always Encrypted
• 管理具有安全 enclave 的 Always Encrypted 的密钥
• 使用 Transact-SQL 就地配置列加密
• 使用 DAC 包就地配置列加密
• 在 SSMS 中使用 Always Encrypted 向导就地配置列加密