適用於:
SQL Server 2019 (15.x) 及更新版本 - 僅限 Windows Azure SQL 資料庫
在 Always Encrypted 中,金鑰輪替是將現有資料行主要金鑰或資料行加密金鑰更換成新金鑰的程序。 本文描述當初始金鑰和/或目標(新)金鑰是啟用了記憶體保護區的金鑰時,針對具安全記憶體保護區的 Always Encrypted 進行特定金鑰輪替的使用案例和考量。 如需管理 Always Encrypted 金鑰的一般指導方針和程序,請參閱 Always Encrypted 的金鑰管理概觀。
您可能基於安全性或合規性理由,而需要輪替金鑰。 例如,如果金鑰已遭洩漏,或您的組織原則要求您定期更換金鑰。 此外,具有安全記憶體保護區的 Always Encrypted 金鑰輪替可讓您為加密資料行啟用或停用伺服器端安全記憶體保護區的功能。
- 當您將未啟用安全區域的金鑰更換為已啟用安全區域的金鑰時,您會啟用安全區域的功能,以查詢由該金鑰保護的資料行。 如需詳細資訊,請參閱啟用 Always Encrypted 功能以搭配安全記憶體保護區,用於現有的加密資料行。
- 當您將金鑰從已啟用安全區功能的金鑰更換為未啟用安全區功能的金鑰時,您將停用安全區查詢依賴該金鑰保護的資料行的功能。
如果只是基於安全性或合規性原因來輪替金鑰,而不是為了啟用或停用資料行的區域計算,請確保目標金鑰與來源金鑰對於區域的配置相同。 例如,如果來源金鑰已啟用記憶體保護區,則目標金鑰也應該啟用記憶體保護區。
以下步驟包含詳細文章的連結,視您的輪替情況而定:
- 配置新的金鑰(資料行主要金鑰或資料行加密金鑰)。
- 若要佈建已啟用記憶體保護區的新金鑰,請參閱佈建已啟用記憶體保護區的金鑰。
- 若要佈建未啟用記憶體保護區的金鑰,請參閱使用 SQL Server Management Studio 佈建 Always Encrypted 金鑰和使用 PowerShell 佈建 Always Encrypted 金鑰。
- 將現有金鑰更換成新的金鑰。
- 如果您要輪替資料行加密金鑰,且來源金鑰和目標金鑰都已啟用記憶體保護區,您可以就地執行輪替 (這會涉及重新加密資料)。 如需詳細資訊,請參閱使用具有安全區域的 Always Encrypted 就地設定資料行加密。
- 如需輪替金鑰的詳細步驟,請參閱使用 SQL Server Management Studio 輪替 Always Encrypted 金鑰和使用 PowerShell 輪替 Always Encrypted 金鑰。