Ruotare le chiavi abilitate per l'enclaveRotate enclave-enabled keys

Si applica a:Applies to: sìSQL Server 2019 (15.x)SQL Server 2019 (15.x)yesSQL Server 2019 (15.x)SQL Server 2019 (15.x) - Solo Windows Sìdatabase SQL di AzureAzure SQL DatabaseYesdatabase SQL di AzureAzure SQL DatabaseSi applica a:Applies to: sìSQL Server 2019 (15.x)SQL Server 2019 (15.x)yesSQL Server 2019 (15.x)SQL Server 2019 (15.x) - Windows only Sìdatabase SQL di AzureAzure SQL DatabaseYesdatabase SQL di AzureAzure SQL Database

In Always Encrypted la rotazione di una chiave è il processo di sostituzione di una chiave master della colonna esistente o di una chiave di crittografia di colonna con una nuova chiave.In Always Encrypted, a key rotation is a process of replacing an existing column master key or a column encryption key with a new key. Questo articolo descrive i casi d'uso e le considerazioni sulla rotazione delle chiavi specifiche di Always Encrypted con enclave sicuri quando la chiave iniziale e/o la chiave di destinazione (nuova) è una chiave abilitata per l'enclave.This article describes use cases and considerations for key rotation specific to Always Encrypted with secure enclaves when either the initial key and/or the target (new) key is an enclave-enabled key. Per le linee guida generali e i processi di gestione delle chiavi Always Encrypted, vedere Panoramica della gestione delle chiavi per Always Encrypted.For general guidelines and processes for managing Always Encrypted keys, see Overview of key management for Always Encrypted.

Potrebbe essere necessario ruotare una chiave per motivi di sicurezza o di conformità,You may need to rotate a key for security or compliance reasons. ad esempio se una chiave è stata compromessa o i criteri dell'organizzazione richiedono di sostituire periodicamente le chiavi.For example, if a key has been compromised or your organization's policies require you to replace keys periodically. Always Encrypted con la rotazione delle chiavi degli enclave sicure consente anche di abilitare o disabilitare la funzionalità dell'enclave sicuro lato server per le colonne crittografate.In addition, Always Encrypted with secure enclaves key rotation provides a way to enable or disable the functionality of the server-side secure enclave for your encrypted columns.

  • Quando si sostituisce una chiave non abilitata per l'enclave con una chiave abilitata per l'enclave, si rende disponibile la funzionalità dell'enclave sicura per eseguire query su colonne protette con la chiave.When you replace a key that isn't enclave-enabled with an enclave-enabled key, you unlock the functionality of the secure enclave to query on columns that are protected with the key. Per altre informazioni, vedere Abilitare Always Encrypted con enclave sicure per le colonne crittografate esistenti.For more information, see Enable Always Encrypted with secure enclaves for existing encrypted columns.
  • Quando si sostituisce una chiave abilitata per l'enclave con una chiave non abilitata per l'enclave, si disabilita la funzionalità dell'enclave sicura per eseguire query su colonne protette con la chiave.When you replace an enclave-enabled key with a key that isn't enclave-enabled, you disable the functionality of the secure enclave to query on columns that are protected with the key.

Se si ruota una chiave solo per motivi di sicurezza/conformità e non per abilitare o disabilitare i calcoli dell'enclave per le colonne, verificare che la chiave di destinazione abbia la stessa configurazione per le enclave della chiave di origine.If you're rotating a key only for security/compliance reasons, and not to enable or disable enclave computations for your columns, make sure the target key has the same configuration regarding enclaves as the source key. Se ad esempio la chiave di origine è abilitata per l'enclave, anche la chiave di destinazione deve essere abilitata per l'enclave.For example, if the source key is enclave-enabled, the target key should also be enclave-enabled.

I passaggi seguenti includono collegamenti ad articoli dettagliati, a seconda dello scenario di rotazione:The below steps include links to detailed articles, depending on your rotation scenario:

  1. Effettuare il provisioning di una nuova chiave (una chiave master di colonna o una chiave di crittografia di colonna).Provision a new key (a column master key or a column encryption key).
  2. Sostituire una chiave esistente con la nuova chiave.Replace an existing key with the new key.

Passaggi successiviNext Steps

Vedere ancheSee Also