Chiffrement TDE (Transparent Data Encryption)Transparent Data Encryption (TDE)

S’APPLIQUE À : ouiSQL Server ouiAzure SQL Database ouiAzure SQL Data Warehouse ouiParallel Data Warehouse APPLIES TO: yesSQL Server yesAzure SQL Database yesAzure SQL Data Warehouse yesParallel Data Warehouse

Le chiffrement transparent des données (TDE) chiffre les fichiers de données de SQL ServerSQL Server, Azure SQL DatabaseAzure SQL Database et Azure SQL Data WarehouseAzure SQL Data Warehouse (processus appelé chiffrement des données au repos).Transparent Data Encryption (TDE) encrypts SQL ServerSQL Server, Azure SQL DatabaseAzure SQL Database, and Azure SQL Data WarehouseAzure SQL Data Warehouse data files, known as encrypting data at rest. Vous pouvez prendre plusieurs précautions pour mieux sécuriser la base de données comme par exemple concevoir un système sécurisé, chiffrer les ressources confidentielles et créer un pare-feu autour des serveurs de base de données.You can take several precautions to help secure the database such as designing a secure system, encrypting confidential assets, and building a firewall around the database servers. Toutefois, dans un scénario où le support physique (tel que des lecteurs ou des bandes de sauvegarde) est dérobé, une personne malveillante peut simplement restaurer ou attacher la base de données et parcourir les données.However, in a scenario where the physical media (such as drives or backup tapes) are stolen, a malicious party can just restore or attach the database and browse the data. Une solution consiste à chiffrer les données sensibles dans la base de données et à protéger les clés utilisées pour chiffrer les données avec un certificat.One solution is to encrypt the sensitive data in the database and protect the keys that are used to encrypt the data with a certificate. Cela empêche toute personne qui ne dispose pas des clés d'utiliser les données, mais ce type de protection doit être planifié à l'avance.This prevents anyone without the keys from using the data, but this kind of protection must be planned in advance.

Le chiffrement transparent des données effectue le chiffrement et le déchiffrement d'E/S en temps réel des données et des fichiers journaux.TDE performs real-time I/O encryption and decryption of the data and log files. Le chiffrement utilise une clé de chiffrement de base de données (DEK), stockée dans l'enregistrement de démarrage de base de données pour être disponible pendant la récupération.The encryption uses a database encryption key (DEK), which is stored in the database boot record for availability during recovery. La clé de chiffrement de base de données est une clé symétrique sécurisée à l'aide d'un certificat stocké dans la base de données MASTER du serveur ou une clé asymétrique protégée par un module EKM.The DEK is a symmetric key secured by using a certificate stored in the master database of the server or an asymmetric key protected by an EKM module. Le chiffrement transparent des données protège les données « au repos », autrement dit les fichiers de données et les fichiers journaux.TDE protects data "at rest", meaning the data and log files. Il permet de se conformer à de nombreuses lois, règles et instructions établies dans différents secteurs professionnels.It provides the ability to comply with many laws, regulations, and guidelines established in various industries. Cela permet aux développeurs de logiciels de chiffrer des données à l'aide des algorithmes de chiffrement AES et 3DES sans modifier les applications existantes.This enables software developers to encrypt data by using AES and 3DES encryption algorithms without changing existing applications.

À propos du chiffrement transparent des donnéesAbout TDE

Le chiffrement du fichier de base de données est effectué au niveau de la page.Encryption of the database file is performed at the page level. Les pages d'une base de données chiffrée sont chiffrées avant d'être écrites sur le disque et déchiffrées lorsqu'elles sont lues en mémoire.The pages in an encrypted database are encrypted before they are written to disk and decrypted when read into memory. Le chiffrement transparent des données n'augmente pas la taille de la base de données chiffrée.TDE does not increase the size of the encrypted database.

Informations applicables à SQL DatabaseSQL DatabaseInformation applicable to SQL DatabaseSQL Database

Quand vous utilisez TDE avec SQL DatabaseSQL Database V12, le certificat de niveau serveur stocké dans la base de données master est automatiquement créé par SQL DatabaseSQL Database.When using TDE with SQL DatabaseSQL Database V12, the server-level certificate stored in the master database is automatically created for you by SQL DatabaseSQL Database. Pour déplacer une base de données TDE sur SQL DatabaseSQL Database, vous n’êtes pas obligé de déchiffrer la base de données pour l’opération de déplacement.To move a TDE database on SQL DatabaseSQL Database, you do not have to decrypt the database for the move operation. Pour plus d’informations sur l’utilisation de TDE avec SQL DatabaseSQL Database, consultez Transparent Data Encryption avec Azure SQL Database.For more information on utilizing TDE with SQL DatabaseSQL Database, see Transparent Data Encryption with Azure SQL Database.

Informations applicables à SQL ServerSQL ServerInformation applicable to SQL ServerSQL Server

Une fois sécurisée, la base de données peut être restaurée à l'aide du certificat approprié.After it is secured, the database can be restored by using the correct certificate. Pour plus d'informations sur les certificats, consultez SQL Server Certificates and Asymmetric Keys.For more information about certificates, see SQL Server Certificates and Asymmetric Keys.

Lorsque vous activez le chiffrement transparent des données, vous devez immédiatement sauvegarder le certificat et la clé privée associée au certificat.When enabling TDE, you should immediately back up the certificate and the private key associated with the certificate. Dans l'éventualité où le certificat ne serait plus disponible ou que vous deviez restaurer ou attacher la base de données sur un autre serveur, vous devez disposer de sauvegardes du certificat et de la clé privée, sans quoi vous ne pourrez pas ouvrir la base de données.If the certificate ever becomes unavailable or if you must restore or attach the database on another server, you must have backups of both the certificate and the private key or you will not be able to open the database. Le certificat de chiffrement doit être conservé même si le chiffrement transparent des données n'est plus activé sur la base de données.The encrypting certificate should be retained even if TDE is no longer enabled on the database. Même si la base de données n'est pas chiffrée, des parties du journal des transactions peuvent toujours être protégées, et le certificat peut être nécessaire pour certaines opérations tant que la sauvegarde complète de la base de données n'a pas été effectuée.Even though the database is not encrypted, parts of the transaction log may still remain protected, and the certificate may be needed for some operations until the full backup of the database is performed. Un certificat qui a dépassé sa date d'expiration peut toujours être utilisé pour chiffrer et déchiffrer les données avec le chiffrement transparent des données.A certificate that has exceeded its expiration date can still be used to encrypt and decrypt data with TDE.

Hiérarchie de chiffrementEncryption Hierarchy

L'illustration ci-dessous montre l'architecture du chiffrement TDE.The following illustration shows the architecture of TDE encryption. Seuls les éléments de niveau base de données (la clé de chiffrement de base de données et les parties ALTER DATABASE) sont configurables par l'utilisateur lors de l'utilisation du chiffrement transparent des données sur la SQL DatabaseSQL Database.Only the database level items (the database encryption key and ALTER DATABASE portions are user-configurable when using TDE on SQL DatabaseSQL Database.

Affiche la hiérarchie décrite dans cette rubrique.Displays the hierarchy described in the topic.

Utilisation du chiffrement transparent des donnéesUsing Transparent Data Encryption

Pour utiliser le chiffrement transparent des données, procédez comme suit :To use TDE, follow these steps.

S'applique à: SQL ServerSQL Server.Applies to: SQL ServerSQL Server.

  • Créez une clé principale.Create a master key

  • Créez ou obtenez un certificat protégé par la clé principale.Create or obtain a certificate protected by the master key

  • Créez une clé de chiffrement de base de données et protégez-la à l'aide du certificat.Create a database encryption key and protect it by the certificate

  • Configurez la base de données pour qu'elle utilise le chiffrement.Set the database to use encryption

L'exemple ci-dessous illustre le chiffrement et le déchiffrement de la base de données AdventureWorks2012 à l'aide d'un certificat installé sur le serveur nommé MyServerCert.The following example illustrates encrypting and decrypting the AdventureWorks2012 database using a certificate installed on the server named MyServerCert.

USE master;  
GO  
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';  
go  
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'My DEK Certificate';  
go  
USE AdventureWorks2012;  
GO  
CREATE DATABASE ENCRYPTION KEY  
WITH ALGORITHM = AES_128  
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;  
GO  
ALTER DATABASE AdventureWorks2012  
SET ENCRYPTION ON;  
GO  

Les opérations de chiffrement et de déchiffrement sont planifiées sur des threads d'arrière-plan par SQL ServerSQL Server.The encryption and decryption operations are scheduled on background threads by SQL ServerSQL Server. Vous pouvez consulter l'état de ces opérations à l'aide des affichages catalogue et des vues de gestion dynamique mentionnés dans la liste fournie plus loin dans cette rubrique.You can view the status of these operations using the catalog views and dynamic management views in the list that appears later in this topic.

Attention

Les fichiers de sauvegarde des bases de données pour lesquelles le chiffrement transparent des données est activé sont également chiffrés à l'aide de la clé de chiffrement de base de données.Backup files of databases that have TDE enabled are also encrypted by using the database encryption key. En conséquence, lorsque vous restaurez ces sauvegardes, le certificat qui protège la clé de chiffrement de base de données doit être disponible.As a result, when you restore these backups, the certificate protecting the database encryption key must be available. Cela signifie qu'en plus de sauvegarder la base de données, vous devez vous assurer que vous conservez des sauvegardes des certificats du serveur pour empêcher toute perte de données.This means that in addition to backing up the database, you have to make sure that you maintain backups of the server certificates to prevent data loss. Une perte de données interviendra si le certificat n'est plus disponible.Data loss will result if the certificate is no longer available. Pour plus d'informations, consultez SQL Server Certificates and Asymmetric Keys.For more information, see SQL Server Certificates and Asymmetric Keys.

Commandes et fonctionsCommands and Functions

Les certificats TDE doivent être chiffrés par la clé principale de base de données pour être acceptés par les instructions suivantes.The TDE certificates must be encrypted by the database master key to be accepted by the following statements. S’ils sont chiffrés uniquement par mot de passe, les instructions les refuseront en tant que chiffreurs.If they're encrypted by password only, the statements will reject them as encryptors.

Important

Si des certificats ayant été utilisés par le chiffrement transparent des données sont modifiés de sorte qu'ils soient protégés par mot de passe, la base de données ne sera plus disponible après un redémarrage.Altering the certificates to be password-protected after they are used by TDE will cause the database to become inaccessible after a restart.

Le tableau suivant fournit des liens et des explications pour les commandes et les fonctions TDE.The following table provides links and explanations of TDE commands and functions.

Commande ou fonctionCommand or function FonctionPurpose
CREATE DATABASE ENCRYPTION KEY (Transact-SQL)CREATE DATABASE ENCRYPTION KEY (Transact-SQL) Crée une clé permettant de chiffrer une base de données.Creates a key that is used to encrypt a database.
ALTER DATABASE ENCRYPTION KEY (Transact-SQL)ALTER DATABASE ENCRYPTION KEY (Transact-SQL) Modifie la clé qui permet de chiffrer une base de données.Changes the key that is used to encrypt a database.
DROP DATABASE ENCRYPTION KEY (Transact-SQL)DROP DATABASE ENCRYPTION KEY (Transact-SQL) Supprime la clé qui était utilisée pour chiffrer une base de données.Removes the key that was used to encrypt a database.
ALTER DATABASE SET Options (Transact-SQL)ALTER DATABASE SET Options (Transact-SQL) Présente l'option ALTER DATABASE qui est utilisée pour activer le chiffrement transparent des données.Explains the ALTER DATABASE option that is used to enable TDE.

Affichages catalogue et vues de gestion dynamiqueCatalog Views and Dynamic Management Views

Le tableau suivant indique les affichages catalogue et les vues de gestion dynamique du chiffrement transparent des données.The following table shows TDE catalog views and dynamic management views.

Affichage catalogue ou vue de gestion dynamiqueCatalog view or dynamic management view FonctionPurpose
sys.databases (Transact-SQL)sys.databases (Transact-SQL) Affichage catalogue qui affiche des informations sur la base de données.Catalog view that displays database information.
sys.certificates (Transact-SQL)sys.certificates (Transact-SQL) Affichage catalogue qui indique les certificats inclus dans une base de données.Catalog view that shows the certificates in a database.
sys.dm_database_encryption_keys (Transact-SQL)sys.dm_database_encryption_keys (Transact-SQL) Vue de gestion dynamique qui fournit des informations sur les clés de chiffrement utilisées dans une base de données et sur l'état de chiffrement d'une base de données.Dynamic management view that provides information about the encryption keys used in a database, and the state of encryption of a database.

AutorisationsPermissions

Chaque fonctionnalité et commande TDE requiert des autorisations individuelles, décrites dans les tableaux précédents.Each TDE feature and command has individual permission requirements, described in the tables shown earlier.

La consultation des métadonnées impliquées dans le chiffrement transparent des données requiert l'autorisation VIEW DEFINITION sur le certificat.Viewing the metadata involved with TDE requires the VIEW DEFINITION permission on the certificate.

ObservationsConsiderations

Lorsqu'une analyse de rechiffrement est en cours pour une opération de chiffrement de la base de données, les opérations de maintenance sur la base de données sont désactivées.While a re-encryption scan for a database encryption operation is in progress, maintenance operations to the database are disabled. Vous pouvez utiliser le paramètre de mode utilisateur unique de la base de données pour effectuer l'opération de maintenance.You can use the single user mode setting for the database to perform the maintenance operation. Pour plus d’informations, consultez Définir une base de données en mode mono-utilisateur.For more information, see Set a Database to Single-user Mode.

Vous pouvez déterminer l'état de chiffrement de la base de données en utilisant la vue de gestion dynamique sys.dm_database_encryption_keys.You can find the state of the database encryption using the sys.dm_database_encryption_keys dynamic management view. Pour plus d’informations, consultez la section « Affichages catalogue et vues de gestion dynamique » plus haut dans cette rubrique.For more information, see the "Catalog Views and Dynamic Management Views"section earlier in this topic).

Dans le chiffrement transparent des données, tous les fichiers et groupes de fichiers de la base de données sont chiffrés.In TDE, all files and filegroups in the database are encrypted. Si des groupes de fichiers de la base de données sont marqués comme READ ONLY, l'opération de chiffrement de la base de données échoue.If any filegroups in a database are marked READ ONLY, the database encryption operation will fail.

Si une base de données est utilisée dans la mise en miroir de bases de données ou la copie des journaux de transaction, les deux bases de données seront chiffrées.If a database is being used in database mirroring or log shipping, both databases will be encrypted. Les transactions du journal sont chiffrées lorsqu'elles sont envoyées dans l'intervalle.The log transactions will be encrypted when sent between them.

Important

Les index de recherche en texte intégral sont chiffrés dès lors qu’une base de données est définie pour le chiffrement.Full-text indexes will be encrypted when a database is set for encryption. Les index de recherche en texte intégral créés avant SQL Server 2008 sont importés dans la base de données durant la mise à niveau vers SQL Server 2008 ou version supérieure pour ensuite être chiffrés par le chiffrement transparent des données.Full-text indexes created prior to SQL Server 2008 will be imported into the database during upgrade to SQL Server 2008 or greater and they will be encrypted by TDE.

Conseil

Pour surveiller les changements de l’état de TDE d’une base de données, utilisez SQL Server Audit ou l’audit SQL Database.To monitor changes in the TDE status of a database, use SQL Server Audit or SQL Database Auditing. Pour SQL Server, le chiffrement TDE est suivi sous le groupe d’actions d’audit DATABASE_CHANGE_GROUP qui se trouve dans Actions et groupes d’actions SQL Server Audit .For SQL Server, TDE is tracked under the audit action group DATABASE_CHANGE_GROUP which can be found in SQL Server Audit Action Groups and Actions.

RestrictionsRestrictions

Les opérations suivantes ne sont pas autorisées au cours du chiffrement initial de la base de données, de la modification d'une clé ou du déchiffrement de la base de données :The following operations are not allowed during initial database encryption, key change, or database decryption:

  • Suppression d'un fichier d'un groupe de fichiers dans la base de donnéesDropping a file from a filegroup in the database

  • Suppression de la base de donnéesDropping the database

  • Mise hors connexion de la base de donnéesTaking the database offline

  • Détachement d'une base de donnéesDetaching a database

  • Passage d'une base de données ou d'un groupe de fichiers à l'état READ ONLYTransitioning a database or filegroup into a READ ONLY state

Les opérations suivantes ne sont pas autorisées durant les instructions CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY ou ALTER DATABASE...SET ENCRYPTION :The following operations are not allowed during the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • Suppression d'un fichier d'un groupe de fichiers dans la base de donnéesDropping a file from a filegroup in the database.

  • Suppression de la base de donnéesDropping the database.

  • Mise hors connexion de la base de donnéesTaking the database offline.

  • Détachement d'une base de donnéesDetaching a database.

  • Passage d'une base de données ou d'un groupe de fichiers à l'état READ ONLYTransitioning a database or filegroup into a READ ONLY state.

  • Utilisation d'une commande ALTER DATABASEUsing an ALTER DATABASE command.

  • Démarrage d'une base de données ou d'une sauvegarde de fichiers de base de donnéesStarting a database or database file backup.

  • Démarrage d'une base de données ou d'une restauration de fichiers de base de donnéesStarting a database or database file restore.

  • Création d'un instantanéCreating a snapshot.

Les opérations ou conditions suivantes empêchent l'exécution des instructions CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY ou ALTER DATABASE...SET ENCRYPTION :The following operations or conditions will prevent the CREATE DATABASE ENCRYPTION KEY, ALTER DATABASE ENCRYPTION KEY, DROP DATABASE ENCRYPTION KEY, or ALTER DATABASE...SET ENCRYPTION statements.

  • La base de données est en lecture seule ou a des groupes de fichiers en lecture seule.The database is read-only or has any read-only file groups.

  • Une commande ALTER DATABASE est en cours d'exécution.An ALTER DATABASE command is executing.

  • Une sauvegarde de données est en cours d'exécution.Any data backup is running.

  • La base de données est dans une condition hors connexion ou de restauration.The database is in an offline or restore condition.

  • Un instantané est en cours.A snapshot is in progress.

  • Tâches de maintenance de base de données.Database maintenance tasks.

Lors de la création de fichiers de base de données, l'initialisation instantanée des fichiers n'est pas disponible lorsque le chiffrement transparent des données est activé.When creating database files, instant file initialization is not available when TDE is enabled.

Afin de chiffrer la clé de chiffrement de base de données avec une clé asymétrique, la clé asymétrique doit résider sur un fournisseur de gestion de clés extensible.In order to encrypt the database encryption key with an asymmetric key, the asymmetric key must reside on an extensible key management provider.

Chiffrement transparent des données et journaux de transactionsTransparent Data Encryption and Transaction Logs

L'activation du chiffrement transparent des données sur une base de données a pour effet de « réinitialiser » la partie restante du journal des transactions virtuel pour imposer le journal des transactions virtuel suivant.Enabling a database to use TDE has the effect of "zeroing out" the remaining part of the virtual transaction log to force the next virtual transaction log. Cela garantit qu'aucun texte en clair n'est conservé dans les journaux des transactions après que la base de données a été définie pour le chiffrement.This guarantees that no clear text is left in the transaction logs after the database is set for encryption. Vous pouvez rechercher l'état du chiffrement des fichiers journaux en consultant la colonne encryption_state dans la vue sys.dm_database_encryption_keys, comme dans l'exemple suivant :You can find the status of the log file encryption by viewing the encryption_state column in the sys.dm_database_encryption_keys view, as in this example:

USE AdventureWorks2012;  
GO  
/* The value 3 represents an encrypted state   
   on the database and transaction logs. */  
SELECT *  
FROM sys.dm_database_encryption_keys  
WHERE encryption_state = 3;  
GO  

Pour plus d’informations sur l’architecture des fichiers journaux SQL ServerSQL Server, consultez Journal des transactions (SQL Server).For more information about the SQL ServerSQL Server log file architecture, see The Transaction Log (SQL Server).

Toutes les données écrites dans le journal des transactions avant une modification de la clé de chiffrement de base de données seront chiffrées à l'aide de la clé de chiffrement de base de données précédente.All data written to the transaction log before a change in the database encryption key will be encrypted by using the previous database encryption key.

Lorsque la clé de chiffrement d'une base de données a été modifiée deux fois, une sauvegarde de fichier journal doit être effectuée pour rendre possible une nouvelle modification de la clé de chiffrement.After a database encryption key has been modified twice, a log backup must be performed before the database encryption key can be modified again.

Chiffrement transparent des données et base de données système tempdbTransparent Data Encryption and the tempdb System Database

La base de données système tempdb est chiffrée si toute autre base de données sur l'instance de SQL ServerSQL Server est chiffrée à l'aide du chiffrement transparent des données.The tempdb system database will be encrypted if any other database on the instance of SQL ServerSQL Server is encrypted by using TDE. Cela peut avoir un impact sur les performances des bases de données non chiffrées situées sur la même instance de SQL ServerSQL Server.This might have a performance effect for unencrypted databases on the same instance of SQL ServerSQL Server. Pour plus d’informations sur la base de données système tempdb, consultez Base de données tempdb.For more information about the tempdb system database, see tempdb Database.

Chiffrement transparent des données et réplicationTransparent Data Encryption and Replication

La réplication ne réplique pas automatiquement sous forme chiffrée les données d'une base sur laquelle le chiffrement transparent des données est activé.Replication does not automatically replicate data from a TDE-enabled database in an encrypted form. Vous devez activer séparément le chiffrement transparent des données si vous souhaitez protéger les bases de données de distribution et d'abonné.You must separately enable TDE if you want to protect the distribution and subscriber databases. La réplication d'instantané, ainsi que la distribution initiale de données pour la réplication transactionnelle et la réplication de fusion, peut stocker des données dans des fichiers intermédiaires non chiffrés, par exemple, des fichiers bcp.Snapshot replication, as well as the initial distribution of data for transactional and merge replication, can store data in unencrypted intermediate files; for example, the bcp files. Au cours de la réplication transactionnelle ou de la réplication de fusion, le chiffrement peut être activé pour protéger le canal de communication.During transactional or merge replication, encryption can be enabled to protect the communication channel. Pour plus d’informations, consultez Activer des connexions chiffrées dans le moteur de base de données (Gestionnaire de configuration SQL Server).For more information, see Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager).

Chiffrement transparent des données et données FILESTREAMTransparent Data Encryption and FILESTREAM DATA

Les données FILESTREAM ne sont pas chiffrées même si le chiffrement transparent des données est activé.FILESTREAM data is not encrypted even when TDE is enabled.

Analyse Transparent Data Encryption (TDE)Transparent Data Encryption (TDE) scan

Afin d’activer Transparent Data Encryption (TDE) sur une base de données, SQL ServerSQL Server doit effectuer une analyse de chiffrement qui lit chaque page du ou des fichiers de données dans le pool de mémoires tampons, puis écrit les pages chiffrées sur un disque.In order to enable Transparent Data Encryption (TDE) on a database, SQL ServerSQL Server must perform an encryption scan that reads each page from the data file(s) into the buffer pool, and then writes the encrypted pages back out to disk. Pour fournir aux utilisateurs un contrôle accru sur l’analyse du chiffrement, SQL Server 2019 - PreviewSQL Server 2019 preview introduit la syntaxe d’analyse (suspension et reprise) TDE afin que vous puissiez suspendre l’analyse alors que la charge de travail sur le système est lourde ou pendant les heures vitales pour l’entreprise, puis reprendre l’analyse ultérieurement.To provide the user with more control over the encryption scan, SQL Server 2019 - PreviewSQL Server 2019 preview introduces TDE scan - suspend and resume syntax so that you can pause the scan while the workload on the system is heavy, or during business-critical hours, and then resume the scan later.

Pour suspendre l’analyse du chiffrement TDE, utilisez la syntaxe suivante :Use the following syntax to pause the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION SUSPEND;

De même, pour reprendre l’analyse du chiffrement TDE, utilisez la syntaxe suivante :Similarly, the following syntax resumes the TDE encryption scan:

ALTER DATABASE <db_name> SET ENCRYPTION RESUME;

Pour afficher l’état actuel de l’analyse du chiffrement, encryption_scan_state a été ajouté à la vue de gestion dynamique sys.dm_database_encryption_keys.To show the current state of the encryption scan, encryption_scan_state has been added to the sys.dm_database_encryption_keys dynamic management view. Il existe également une nouvelle colonne appelée encryption_scan_modify_date qui contient la date et l’heure du dernier changement d’état de l’analyse du chiffrement.There is also a new column called encryption_scan_modify_date which will contain the date and time of the last encryption scan state change. Notez également que si l’instance SQL ServerSQL Server redémarre pendant que l’analyse du chiffrement est dans un état suspendu, un message est consigné dans le journal des erreurs au démarrage, indiquant qu’une analyse existante a été suspendue.Also note that if the SQL ServerSQL Server instance is restarted while the encryption scan is in a suspended state, a message will be logged in the error log on startup indicating that there is an existing scan that has been paused.

Chiffrement transparent des données et Extension du Pool de mémoires tamponsTransparent Data Encryption and Buffer Pool Extension

Les fichiers associés à l'extension du pool de mémoires tampons ne sont pas chiffrés lorsque la base de données est chiffrée à l'aide du chiffrement transparent des données.Files related to buffer pool extension (BPE) are not encrypted when database is encrypted using TDE. Vous devez utiliser les outils de chiffrement au niveau du système de fichiers tels que BitLocker ou EFS pour les fichiers associés à l’extension du pool de mémoires tampons.You must use file system level encryption tools like BitLocker or EFS for BPE related files.

Chiffrement transparent des données et OLTP en mémoireTransparent Data Encryption and In-Memory OLTP

Le chiffrement transparent des données (TDE) peut être activé sur une base de données contenant des objets de l'OLTP en mémoire.TDE can be enabled on a database that has In-Memory OLTP objects. Dans SQL Server 2016 (13.x)SQL Server 2016 (13.x) et Azure SQL DatabaseAzure SQL Database , les enregistrements de journal et les données de l’OLTP en mémoire sont chiffrés si le chiffrement transparent des données (TDE) est activé.In SQL Server 2016 (13.x)SQL Server 2016 (13.x) and Azure SQL DatabaseAzure SQL Database In-Memory OLTP log records and data are encrypted if TDE is enabled. Dans SQL Server 2014 (12.x)SQL Server 2014 (12.x) , les enregistrements de journal de l’OLTP en mémoire sont chiffrés si le chiffrement transparent des données (TDE) est activé, mais les fichiers dans le groupe de fichiers MEMORY_OPTIMIZED_DATA ne sont pas chiffrés.In SQL Server 2014 (12.x)SQL Server 2014 (12.x) In-Memory OLTP log records are encrypted if TDE is enabled, but files in the MEMORY_OPTIMIZED_DATA filegroup are not encrypted.

Déplacer une base de données protégée par le chiffrement transparent des données vers un autre serveur SQL ServerMove a TDE Protected Database to Another SQL Server
Activer le chiffrement transparent des données à l’aide de la gestion de clés extensible (EKM)Enable TDE on SQL Server Using EKM
Gestion de clés extensible à l’aide d’Azure Key Vault (SQL Server)Extensible Key Management Using Azure Key Vault (SQL Server)

Chiffrement transparent des données avec Azure SQL DatabaseTransparent Data Encryption with Azure SQL Database
Prise en main du chiffrement transparent des données (TDE) sur SQL Data WarehouseGet started with Transparent Data Encryption (TDE) on SQL Data Warehouse
Chiffrement SQL ServerSQL Server Encryption
SQL Server et clés de chiffrement de base de données (moteur de base de données)SQL Server and Database Encryption Keys (Database Engine)

 Voir aussiSee Also

Centre de sécurité pour le moteur de base de données SQL Server et Azure SQL Database Security Center for SQL Server Database Engine and Azure SQL Database
FILESTREAM (SQL Server)FILESTREAM (SQL Server)