Udostępnij za pośrednictwem

Aprowizuj klucze Always Encrypted przy użyciu programu SQL Server Management Studio

Dotyczy:SQL ServerAzure SQL DatabaseAzure SQL Managed Instance

Ten artykuł zawiera kroki aprowizacji kluczy głównych kolumn i kluczy szyfrowania kolumn dla funkcji Always Encrypted przy użyciu programu SQL Server Management Studio (SSMS). Upewnij się, że podczas aprowizowania kluczy szyfrowania zainstalowano najnowszą wersję ogólnie dostępnej wersji programu SSMS .

Aby zapoznać się z omówieniem zarządzania kluczami Always Encrypted, w tym zaleceniami dotyczącymi najlepszych rozwiązań i ważnymi zagadnieniami dotyczącymi zabezpieczeń, zobacz Omówienie zarządzania kluczami dla funkcji Always Encrypted.

Konfiguruj klucze główne kolumn za pomocą okna dialogowego Nowy klucz główny kolumny

Okno dialogowe Nowy klucz główny kolumny umożliwia wygenerowanie klucza głównego kolumny lub wybranie istniejącego klucza w magazynie kluczy oraz utworzenie metadanych klucza głównego kolumny dla utworzonego lub wybranego klucza w bazie danych.

  1. Korzystając z Eksploratora obiektów, przejdź do węzła Zabezpieczenia —> Zawsze szyfrowane klucze w bazie danych.

  2. Kliknij prawym przyciskiem myszy na węzeł Klucze główne kolumn i wybierz pozycję Nowy klucz główny kolumny....

  3. W oknie dialogowym Nowy klucz główny kolumny wprowadź nazwę obiektu metadanych klucza głównego kolumny.

  4. Wybierz magazyn kluczy:

    • Magazyn certyfikatów — bieżący użytkownik — wskazuje lokalizację magazynu certyfikatów bieżącego użytkownika w magazynie certyfikatów systemu Windows, który jest magazynem osobistym.

    • Magazyn certyfikatów — komputer lokalny — wskazuje lokalizację magazynu certyfikatów komputera lokalnego w magazynie certyfikatów systemu Windows.

    • Azure Key Vault — musisz zalogować się do platformy Azure (kliknij pozycję Zaloguj). Po zalogowaniu możesz wybrać jedną z subskrypcji Azure oraz magazyn kluczy lub zarządzany moduł HSM (wymaga SSMS 18.9 lub nowszego).

      Notatka

      Używanie kluczy wzorcowych kolumn przechowywanych w zarządzanym modulem HSM w usłudze Azure Key Vault wymaga SSMS 18.9 lub nowszej wersji.

    • Dostawca magazynu kluczy (KSP) — wskazuje magazyn kluczy, który jest dostępny za pośrednictwem dostawcy magazynu kluczy (KSP), który implementuje interfejs API następnej generacji kryptografii (CNG). Zazwyczaj ten typ magazynu jest sprzętowym modułem zabezpieczeń (HSM). Po wybraniu tej opcji należy wybrać dostawcę KSP. Dostawca magazynu kluczy oprogramowania firmy Microsoft jest domyślnie wybierany. Jeśli chcesz użyć klucza głównego kolumny przechowywanego w module HSM, wybierz dostawcę kluczy dla urządzenia (przed otwarciem okna dialogowego należy go zainstalować i skonfigurować na komputerze).

    • Dostawca usług kryptograficznych (CSP) — magazyn kluczy dostępny za pośrednictwem dostawcy usług kryptograficznych (CSP), który implementuje interfejs API kryptografii (CAPI). Zazwyczaj taki magazyn jest sprzętowym modułem zabezpieczeń (HSM). Po wybraniu tej opcji należy wybrać dostawcę CSP. Jeśli chcesz użyć klucza głównego kolumny przechowywanego w module HSM, wybierz dostawcę CSP dla urządzenia (przed otwarciem okna dialogowego należy go zainstalować i skonfigurować na komputerze).

    Notatka

    Ponieważ interfejs CAPI jest przestarzałym interfejsem API, opcja Dostawcy usług kryptograficznych (CAPI) jest domyślnie wyłączona. Aby włączyć, utwórz wartość DWORD o nazwie CAPI Provider Enabled w kluczu [HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\sql13\Tools\Client\Always Encrypted] w rejestrze systemu Windows i ustaw ją na 1. Należy użyć CNG zamiast CAPI, chyba że magazyn kluczy nie obsługuje CNG.

    Aby uzyskać więcej informacji na temat powyższych magazynów kluczy, zobacz Tworzenie i przechowywanie kluczy głównych kolumn dla funkcji Always Encrypted.

  5. Jeśli używasz programu SQL Server 2019 (15.x) i wystąpienie programu SQL Server jest skonfigurowane z wykorzystaniem bezpiecznej enklawy, możesz zaznaczyć pole wyboru "Zezwalaj na obliczenia enklawy" , aby włączyć wsparcie enklawy dla klucza głównego. Aby uzyskać szczegółowe informacje, zobacz Always Encrypted with secure enlaves (Funkcja Always Encrypted z bezpiecznymi enklawami ).

    Notatka

    Pole wyboru Zezwalaj na obliczenia enklawy nie jest wyświetlane, jeśli wystąpienie programu SQL Server nie jest poprawnie skonfigurowane z bezpieczną enklawą.

  6. Wybierz istniejący klucz w magazynie kluczy lub kliknij przycisk Generuj klucz lub Generuj certyfikat , aby utworzyć klucz w magazynie kluczy.

    Notatka

    Nie sprawdzamy poprawności kluczy ani certyfikatów używanych do generowania klucza głównego kolumny.

  7. Kliknij przycisk OK , a nowy klucz pojawi się na liście.

Po zakończeniu okna dialogowego program SQL Server Management Studio tworzy metadane dla klucza głównego kolumny w bazie danych. Okno dialogowe generuje i wydaje instrukcję CREATE COLUMN MASTER KEY (Transact-SQL) .

Jeśli konfigurujesz klucz główny kolumny z obsługą enklawy, program SSMS podpisuje również metadane przy użyciu klucza głównego kolumny.

Uprawnienia do konfigurowania klucza głównego kolumny

Aby utworzyć klucz główny kolumny, musisz mieć uprawnienie ALTER ANY COLUMN MASTER KEY w bazie danych. Potrzebujesz również uprawnień do magazynu kluczy, aby uzyskać dostęp do klucza głównego kolumny kluczy oraz z niego korzystać. Aby uzyskać szczegółowe informacje na temat uprawnień magazynu kluczy wymaganych do operacji zarządzania kluczami, zobacz Tworzenie i przechowywanie kluczy głównych kolumn dla funkcji Always Encrypted i zapoznaj się z sekcją odpowiednią dla magazynu kluczy.

Konfiguruj klucze szyfrowania kolumn za pomocą okna dialogowego "Nowy klucz szyfrowania kolumny"

Okno dialogowe Nowy klucz szyfrowania kolumny umożliwia wygenerowanie klucza szyfrowania kolumny, zaszyfrowanie go przy użyciu klucza głównego kolumny i utworzenie metadanych klucza szyfrowania kolumny w bazie danych.

  1. Za pomocą Eksploratora obiektów przejdź do folderu Security/Always Encrypted Keys w bazie danych.
  2. Kliknij prawym przyciskiem myszy folder Klucze szyfrowania kolumny i wybierz pozycję Nowy klucz szyfrowania kolumny....
  3. W oknie dialogowym Nowy klucz szyfrowania kolumny wprowadź nazwę obiektu metadanych klucza szyfrowania kolumny.
  4. Wybierz obiekt metadanych reprezentujący klucz główny kolumny w bazie danych.
  5. Kliknij przycisk OK.

Po zakończeniu okna dialogowego program SQL Server Management Studio (SSMS) generuje nowy klucz szyfrowania kolumny. Program SSMS pobiera następnie metadane klucza głównego kolumny wybranego z bazy danych. Program SSMS następnie używa metadanych klucza głównego kolumny do kontaktu z magazynem kluczy zawierającym klucz główny kolumny i szyfruje klucz szyfrowania kolumny. Na koniec program SSMS tworzy dane metadanych dla nowego szyfrowania kolumn w bazie danych, generując i wydając instrukcję CREATE COLUMN ENCRYPTION KEY (Transact-SQL).

Notatka

Używanie kluczy wzorcowych kolumn przechowywanych w zarządzanym modulem HSM w usłudze Azure Key Vault wymaga SSMS 18.9 lub nowszej wersji.

Uprawnienia do konfigurowania klucza szyfrowania kolumny

Aby utworzyć metadane klucza szyfrowania kolumny i uzyskać dostęp do metadanych klucza głównego kolumny w bazie danych, potrzebne są uprawnienia ALTER ANY COLUMN ENCRYPTION KEY i VIEW ANY COLUMN MASTER KEY DEFINITION. Potrzebujesz również uprawnień sklepu kluczy, aby uzyskać dostęp do klucza głównego kolumny i móc go używać. Aby uzyskać szczegółowe informacje na temat uprawnień magazynu kluczy wymaganych dla operacji zarządzania kluczami, przejdź do artykułu Tworzenie i przechowywanie kluczy głównych kolumn dla funkcji Always Encrypted i znajdź sekcję odpowiednią dla magazynu kluczy.

Aprowizuj klucze Always Encrypted przy użyciu Kreatora Always Encrypted

Kreator Always Encrypted to narzędzie do szyfrowania, odszyfrowywania i ponownego szyfrowania wybranych kolumn bazy danych. Chociaż może używać już skonfigurowanych kluczy, umożliwia również wygenerowanie nowego klucza głównego kolumny i nowego szyfrowania kolumny.

Następne kroki

Zobacz też