Putar tombol berkemampuan enklave
Berlaku untuk:
Dimulai dengan SQL Server 2019 (15.x) - hanya Windows Azure SQL Database
Dalam Always Encrypted, rotasi kunci adalah proses mengganti kunci master kolom yang ada atau kunci enkripsi kolom dengan kunci baru. Artikel ini menjelaskan kasus penggunaan dan pertimbangan untuk rotasi kunci khusus untuk Always Encrypted dengan enklave aman ketika kunci awal dan/atau kunci target (baru) adalah kunci yang diaktifkan enklave. Untuk panduan umum dan proses pengelolaan kunci Always Encrypted, lihat Gambaran umum manajemen kunci untuk Always Encrypted.
Anda mungkin perlu memutar kunci untuk alasan keamanan atau kepatuhan. Misalnya, jika kunci telah disusupi atau kebijakan organisasi Anda mengharuskan Anda untuk mengganti kunci secara berkala. Selain itu, Always Encrypted dengan rotasi kunci enklave aman menyediakan cara untuk mengaktifkan atau menonaktifkan fungsionalitas enklave aman sisi server untuk kolom terenkripsi Anda.
- Saat Anda mengganti kunci yang tidak diaktifkan enklave dengan kunci berkemampuan enklave, Anda membuka kunci fungsionalitas enklave aman untuk mengkueri kolom yang dilindungi dengan kunci. Untuk informasi selengkapnya, lihat Mengaktifkan Always Encrypted dengan enklave aman untuk kolom terenkripsi yang sudah ada.
- Saat Anda mengganti kunci yang diaktifkan enklave dengan kunci yang tidak diaktifkan enklave, Anda menonaktifkan fungsionalitas enklave aman untuk mengkueri kolom yang dilindungi dengan kunci.
Jika Anda memutar kunci hanya untuk alasan keamanan/kepatuhan, dan tidak mengaktifkan atau menonaktifkan komputasi enklave untuk kolom Anda, pastikan kunci target memiliki konfigurasi yang sama mengenai enklave sebagai kunci sumber. Misalnya, jika kunci sumber diaktifkan enklave, kunci target juga harus diaktifkan enklave.
Langkah-langkah di bawah ini mencakup tautan ke artikel terperinci, tergantung pada skenario rotasi Anda:
- Provisikan kunci baru (kunci master kolom atau kunci enkripsi kolom).
- Untuk menyediakan kunci yang diaktifkan enklave-enklave baru, lihat Menyediakan kunci yang mendukung enklave.
- Untuk menyediakan kunci yang tidak diaktifkan enklave, lihat Menyediakan kunci Always Encrypted menggunakan SQL Server Management Studio dan Memprovisikan kunci yang selalu dienkripsi menggunakan PowerShell.
- Ganti kunci yang ada dengan kunci baru.
- Jika Anda memutar kunci enkripsi kolom dan kunci sumber dan kunci target diaktifkan enklave, Anda dapat menjalankan rotasi (yang melibatkan enkripsi ulang data Anda) di tempat. Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi kolom di tempat menggunakan Always Encrypted dengan enklave aman.
- Untuk langkah-langkah terperinci untuk memutar kunci, lihat Memutar kunci Always Encrypted menggunakan SQL Server Management Studio dan Memutar kunci Always Encrypted menggunakan PowerShell.
Langkah berikutnya
- Menjalankan pernyataan Transact-SQL menggunakan enklave aman
- Mengonfigurasi enkripsi kolom di tempat menggunakan Always Encrypted dengan enklave aman
- Aktifkan Always Encrypted dengan enklave aman untuk kolom terenkripsi yang sudah ada
- Mengembangkan aplikasi menggunakan Always Encrypted dengan enklave aman