共用方式為


SQL Server 巨量資料叢集透明待用資料加密 (TDE) 使用指南

適用於:SQL Server 2019 (15.x)

重要

Microsoft SQL Server 2019 巨量資料叢集附加元件將會淘汰。 SQL Server 2019 巨量資料叢集的支援將於 2025 年 2 月 28 日結束。 平台上將完全支援含軟體保證 SQL Server 2019 的所有現有使用者,而且軟體將會持續透過 SQL Server 累積更新來維護,直到該時間為止。 如需詳細資訊,請參閱公告部落格文章Microsoft SQL Server 平台上的巨量資料選項

本指南示範如何使用 SQL Server 巨量資料叢集的待用加密功能來加密資料庫。

設定 SQL Server 透明資料加密時,DBA 的組態體驗是相同的 Linux 上 SQL Server,且除非另行通知,否則須遵守標準 TDE 文件。 若要監視主機上的加密狀態,請遵循 sys.dm_database_encryption_keyssys.certificates 上的標準 DMV 查詢模式。

不支援的功能:

  • 資料集區加密

必要條件

查詢已安裝的憑證

  1. 在 Azure Data Studio 中,連線到巨量資料叢集的 SQL Server 主要執行個體。 如需詳細資訊,請參閱連線到 SQL Server 主要執行個體

  2. 按兩下 [伺服器] 視窗中的連線,顯示 SQL Server 主要執行個體的伺服器儀表板。 選取 [新增查詢]。

    SQL Server 主要執行個體查詢

  3. 執行下列 Transact-SQL 命令,將內容變更為主要執行個體中的 master 資料庫。

    USE master;
    GO
    
  4. 查詢已安裝的系統管理憑證。

     SELECT TOP 1 name FROM sys.certificates WHERE name LIKE 'TDECertificate%' ORDER BY name DESC;
    

    視需要使用不同的查詢準則。

    憑證名稱會以「TDECertificate{timestamp}」的形式列出。 當您看到前置詞為 TDECertificate,而後面接著時間戳記時,這就是系統管理功能所提供的憑證。

使用系統管理憑證來加密資料庫

在下列範例中,根據上一節的輸出,假設有名為 userdb 的資料庫做為加密目標,以及名為 TDECertificate2020_09_15_22_46_27 的系統提供憑證。

  1. 請使用下列模式,透過所提供的系統憑證來產生資料庫加密金鑰。

     USE userdb; 
     GO
     CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE TDECertificate2020_09_15_22_46_27;
     GO
    
  2. 使用下列命令來加密資料庫 userdb

     ALTER DATABASE userdb SET ENCRYPTION ON;
     GO
    

使用外部提供者時管理資料庫加密

如需在待用 SQL Server 巨量資料叢集加密上使用金鑰版本方式的相關詳細資訊,請參閱 SQL Server 巨量資料叢集中的金鑰版本。 「SQL Server 的主要金鑰輪替」一節包含在使用外部金鑰提供者時,如何管理資料庫加密的端對端範例。

後續步驟

了解 HDFS 的待用加密: