Bagikan melalui

Mengonfigurasi enkripsi kolom menggunakan wizard Always Encrypted

  • Artikel

Berlaku untuk:SQL ServerAzure SQL DatabaseAzure SQL Managed Instance

Always Encrypted Wizard adalah alat canggih yang memungkinkan Anda mengatur konfigurasi Always Encrypted yang diinginkan untuk kolom database yang dipilih. Bergantung pada konfigurasi saat ini dan konfigurasi target yang diinginkan, wizard dapat mengenkripsi kolom, mendekripsinya (menghapus enkripsi), atau mengenkripsi ulang (misalnya, menggunakan kunci enkripsi kolom baru atau jenis enkripsi yang berbeda dari jenis saat ini, yang dikonfigurasi untuk kolom). Beberapa kolom dapat dikonfigurasi dalam satu eksekusi wizard.

Wizard ini memungkinkan Anda mengenkripsi kolom dengan kunci enkripsi kolom yang sudah ada, atau Anda bisa memilih untuk membuat kunci enkripsi kolom baru atau kunci enkripsi kolom baru dan kunci master kolom baru.

Saat database Anda dikonfigurasi dengan enklave aman, Anda dapat menjalankan operasi kriptografi di tempat, tanpa memindahkan data dari database. Wizard menghapus semua dependensi yang memblokir perubahan skema kolom yang akan dienkripsi. Ini mengeluarkan enkripsi di tempat untuk setiap kolom dengan menggunakan enklave dalam mesin database. Setelah enkripsi selesai, wizard membuat ulang dependensi. Untuk informasi selengkapnya tentang Always Encrypted dengan enklave aman, lihat Always Encrypted dengan enklave aman.

Saat database Anda tidak dikonfigurasi dengan enklave aman, wizard akan memberi Anda kesempatan untuk mengaktifkan enklave aman. Jika Anda memilih untuk tidak mengaktifkan enklave aman atau Anda tidak menggunakan kunci yang diaktifkan enklave, wizard bekerja dengan memindahkan data dari database dan melakukan operasi kriptografi dalam proses SQL Server Management Directory. Wizard membuat tabel baru (atau tabel) dengan konfigurasi enkripsi yang diinginkan dalam database, memuat semua data dari tabel asli, melakukan operasi kriptografi yang diminta, mengunggah data ke tabel baru, lalu menukar tabel asli dengan tabel baru.

Tip

Menggunakan enkripsi di tempat menggunakan Always Encrypted dengan enklave aman, jika tersedia di lingkungan Anda, dapat secara substansial mengurangi waktu dan keandalan operasi kriptografi.

Catatan

Menjalankan operasi kriptografi dapat memakan waktu lama. Selama waktu itu, database Anda tidak tersedia untuk menulis transaksi. PowerShell adalah alat yang direkomendasikan untuk operasi kriptografi pada tabel yang lebih besar. Lihat Mengonfigurasi enkripsi kolom menggunakan Always Encrypted dengan PowerShell atau Mengonfigurasi enkripsi kolom di tempat dengan PowerShell.

Izin

Untuk melakukan operasi kriptografi menggunakan wizard, Anda harus memiliki izin LIHAT DEFINISI KUNCI MASTER KOLOM APA PUN dan LIHAT DEFINISI KUNCI ENKRIPSI KOLOM APA PUN. Anda juga memerlukan izin penyimpanan kunci untuk membuat, mengakses, dan menggunakan kunci master kolom Anda. Untuk informasi terperinci tentang izin penyimpanan kunci, buka Membuat dan menyimpan kunci master kolom untuk Always Encrypted atau dan temukan bagian yang relevan untuk penyimpanan kunci Anda.

Buka Wizard Always Encrypted

Anda dapat meluncurkan wizard pada tiga tingkat berbeda:

  • Pada tingkat database - jika Anda ingin mengenkripsi beberapa kolom yang terletak di tabel yang berbeda.
  • Pada tingkat tabel - jika Anda ingin mengenkripsi beberapa kolom yang terletak di tabel yang sama.
  • Pada tingkat kolom - jika Anda ingin mengenkripsi satu kolom tertentu.

  1. Koneksi ke SQL Server Anda dengan komponen Object Explorer dari SQL Server Management Studio.

  2. Untuk mengenkripsi:

    1. Beberapa kolom yang terletak di tabel yang berbeda dalam database, klik kanan database Anda, arahkan ke Tugas, lalu pilih Enkripsi Kolom.
    2. Beberapa kolom yang terletak di tabel yang sama, navigasikan ke tabel, klik kanan, lalu pilih Enkripsi Kolom.
    3. Kolom individual, navigasikan ke kolom, klik kanan kolom tersebut, lalu pilih Enkripsi Kolom.

Halaman Pilihan Kolom

Di halaman ini, Anda memilih kolom yang ingin Anda enkripsi, enkripsi ulang, atau dekripsi, dan Anda menentukan konfigurasi enkripsi target untuk kolom yang dipilih.

Untuk mengenkripsi kolom teks biasa (kolom yang tidak dienkripsi), pilih jenis enkripsi (Deterministik atau Acak) dan kunci enkripsi untuk kolom.

Untuk mengubah jenis enkripsi atau memutar (mengubah) kunci enkripsi kolom untuk kolom yang sudah dienkripsi, pilih jenis enkripsi dan kunci yang diinginkan.

Jika Anda ingin wizard mengenkripsi atau mengenkripsi ulang satu atau beberapa kolom menggunakan kunci enkripsi kolom baru, pilih kunci yang berisi (Baru) dalam namanya. Wizard akan menghasilkan kunci.

Untuk mendekripsi kolom yang saat ini dienkripsi, pilih Teks biasa untuk jenis enkripsi.

Catatan

Jika Anda ingin memanfaatkan enkripsi di tempat dan menggunakan kunci yang ada, pastikan Anda memilih kunci yang diaktifkan enklave - diannotasi dengan (diaktifkan enklave).

Catatan

Wizard tidak mendukung operasi kriptografi pada tabel temporal dan dalam memori. Anda dapat membuat tabel temporal atau dalam memori kosong menggunakan Transact-SQL dan menyisipkan data menggunakan aplikasi Anda.

Halaman Konfigurasi Kunci Master

Jika Anda telah memilih kunci enkripsi kolom yang dibuat secara otomatis untuk kolom apa pun di halaman sebelumnya, di halaman ini Anda perlu memilih kunci master kolom yang ada atau mengonfigurasi kunci master kolom baru yang akan mengenkripsi kunci enkripsi kolom.

Saat mengonfigurasi kunci master kolom baru, Anda dapat memilih kunci yang ada di Penyimpanan Sertifikat Windows atau di Azure Key Vault dan meminta wizard untuk membuat objek metadata saja untuk kunci dalam database, atau Anda dapat memilih untuk menghasilkan kunci dan objek metadata yang menjelaskan kunci dalam database.

Untuk menggunakan enkripsi di tempat, pastikan Anda memilih Izinkan komputasi enklave untuk kunci master kolom baru. Memilih kotak centang ini diperbolehkan hanya jika database Anda dikonfigurasi dengan enklave aman.

Untuk informasi selengkapnya tentang membuat dan menyimpan kunci master kolom di Penyimpanan Sertifikat Windows, Azure Key Vault, atau penyimpanan kunci lainnya, lihat Membuat dan menyimpan kunci master kolom untuk Kunci Always Encrypted atau Kelola untuk Always Encrypted dengan enklave aman.

Tip

Wizard ini memungkinkan Anda menelusuri dan membuat kunci hanya di Windows Certificate Store dan Azure Key Vault. Ini juga secara otomatis menghasilkan nama kunci baru dan objek metadata database yang menjelaskan kunci. Jika Anda memerlukan kontrol lebih untuk bagaimana kunci Anda disediakan (dan lebih banyak pilihan untuk penyimpanan kunci yang berisi kunci master kolom Anda), Anda dapat menggunakan dialog Kunci Master Kolom Baru dan Kunci Enkripsi Kolom Baru untuk membuat kunci terlebih dahulu, lalu menjalankan wizard dan memilih kunci yang telah Anda buat. Lihat Menyediakan Kunci Master Kolom dengan Dialog Kunci Master Kolom Baru atau Menyediakan kunci yang diaktifkan enklave dan Menyediakan Kunci Enkripsi Kolom dengan Dialog Kunci Enkripsi Kolom Baru.

Halaman Pengaturan Enkripsi Di Tempat

Jika Anda telah mengonfigurasi enklave aman dalam database Dan Anda menggunakan kunci yang diaktifkan enklave, halaman ini memungkinkan Anda menentukan parameter pengesahan enklave, yang diperlukan untuk enkripsi di tempat. Jika Anda tidak ingin menggunakan enkripsi di tempat, batal pilih Gunakan enkripsi di tempat untuk kolom yang memenuhi syarat untuk melanjutkan enkripsi sisi klien. Kami menyarankan Anda untuk membiarkan kotak centang ini diaktifkan sehingga wizard dapat menggunakan enkripsi di tempat.

Untuk informasi selengkapnya tentang pengesahan enklave, lihat Mengonfigurasi pengesahan untuk Always Encrypted menggunakan Azure Attestation

Langkah berikutnya

Baca juga