Ruotare le chiavi abilitate per l'enclaveRotate enclave-enabled keys
Si applica a:Applies to: 
SQL Server 2019 (15.x)SQL Server 2019 (15.x)SQL Server 2019 (15.x)SQL Server 2019 (15.x)database SQL di AzureAzure SQL Databasedatabase SQL di AzureAzure SQL DatabaseSQL Server 2019 (15.x)SQL Server 2019 (15.x)SQL Server 2019 (15.x)SQL Server 2019 (15.x)database SQL di AzureAzure SQL Databasedatabase SQL di AzureAzure SQL Database
In Always Encrypted la rotazione di una chiave è il processo di sostituzione di una chiave master della colonna esistente o di una chiave di crittografia di colonna con una nuova chiave.In Always Encrypted, a key rotation is a process of replacing an existing column master key or a column encryption key with a new key. Questo articolo descrive i casi d'uso e le considerazioni sulla rotazione delle chiavi specifiche di Always Encrypted con enclave sicuri quando la chiave iniziale e/o la chiave di destinazione (nuova) è una chiave abilitata per l'enclave.This article describes use cases and considerations for key rotation specific to Always Encrypted with secure enclaves when either the initial key and/or the target (new) key is an enclave-enabled key. Per le linee guida generali e i processi di gestione delle chiavi Always Encrypted, vedere Panoramica della gestione delle chiavi per Always Encrypted.For general guidelines and processes for managing Always Encrypted keys, see Overview of key management for Always Encrypted.
Potrebbe essere necessario ruotare una chiave per motivi di sicurezza o di conformità,You may need to rotate a key for security or compliance reasons. ad esempio se una chiave è stata compromessa o i criteri dell'organizzazione richiedono di sostituire periodicamente le chiavi.For example, if a key has been compromised or your organization's policies require you to replace keys periodically. Always Encrypted con la rotazione delle chiavi degli enclave sicure consente anche di abilitare o disabilitare la funzionalità dell'enclave sicuro lato server per le colonne crittografate.In addition, Always Encrypted with secure enclaves key rotation provides a way to enable or disable the functionality of the server-side secure enclave for your encrypted columns.
- Quando si sostituisce una chiave non abilitata per l'enclave con una chiave abilitata per l'enclave, si rende disponibile la funzionalità dell'enclave sicura per eseguire query su colonne protette con la chiave.When you replace a key that isn't enclave-enabled with an enclave-enabled key, you unlock the functionality of the secure enclave to query on columns that are protected with the key. Per altre informazioni, vedere Abilitare Always Encrypted con enclave sicure per le colonne crittografate esistenti.For more information, see Enable Always Encrypted with secure enclaves for existing encrypted columns.
- Quando si sostituisce una chiave abilitata per l'enclave con una chiave non abilitata per l'enclave, si disabilita la funzionalità dell'enclave sicura per eseguire query su colonne protette con la chiave.When you replace an enclave-enabled key with a key that isn't enclave-enabled, you disable the functionality of the secure enclave to query on columns that are protected with the key.
Se si ruota una chiave solo per motivi di sicurezza/conformità e non per abilitare o disabilitare i calcoli dell'enclave per le colonne, verificare che la chiave di destinazione abbia la stessa configurazione per le enclave della chiave di origine.If you're rotating a key only for security/compliance reasons, and not to enable or disable enclave computations for your columns, make sure the target key has the same configuration regarding enclaves as the source key. Se ad esempio la chiave di origine è abilitata per l'enclave, anche la chiave di destinazione deve essere abilitata per l'enclave.For example, if the source key is enclave-enabled, the target key should also be enclave-enabled.
I passaggi seguenti includono collegamenti ad articoli dettagliati, a seconda dello scenario di rotazione:The below steps include links to detailed articles, depending on your rotation scenario:
- Effettuare il provisioning di una nuova chiave (una chiave master di colonna o una chiave di crittografia di colonna).Provision a new key (a column master key or a column encryption key).
- Per effettuare il provisioning di una nuova chiave abilitata per l'enclave, vedere Effettuare il provisioning delle chiavi abilitate per l'enclave.To provision a new enclave-enclave enabled key, see Provision enclave-enabled keys.
- Per effettuare il provisioning di una chiave non abilitata per l'enclave, vedere Effettuare il provisioning di chiavi Always Encrypted usando SQL Server Management Studio ed con PowerShell.To provision a key that isn't enclave enabled, see Provision Always Encrypted keys using SQL Server Management Studio and Provision Always encrypted keys using PowerShell.
- Sostituire una chiave esistente con la nuova chiave.Replace an existing key with the new key.
- Se si ruota una chiave di crittografia di colonna e sia la chiave di origine che la chiave di destinazione sono abilitate per l'enclave, è possibile eseguire la rotazione (che implica una nuova crittografia dei dati) sul posto.If you're rotating a column encryption key and both the source key and the target key are enclave-enabled, you can run the rotation (which involves re-encrypting your data) in-place. Per altre informazioni, vedere Configurare la crittografia delle colonne sul posto usando Always Encrypted con enclave sicure.For more information, see Configure column encryption in-place using Always Encrypted with secure enclaves.
- Per la procedura dettagliata di rotazione delle chiavi, vedere Ruotare le chiavi Always Encrypted con SQL Server Management Studio e Ruotare le chiavi Always Encrypted con PowerShell.For detailed steps for rotating keys, see Rotate Always Encrypted keys using SQL Server Management Studio and Rotate Always Encrypted keys using PowerShell.
Passaggi successiviNext Steps
- Eseguire istruzioni Transact-SQL con enclave sicureRun Transact-SQL statements using secure enclaves
- Configurare la crittografia delle colonne sul posto usando Always Encrypted con enclave sicuriConfigure column encryption in-place using Always Encrypted with secure enclaves
- Abilitare Always Encrypted con enclave sicuri per le colonne crittografate esistentiEnable Always Encrypted with secure enclaves for existing encrypted columns
- Sviluppare applicazioni usando Always Encrypted con enclave sicuriDevelop applications using Always Encrypted with secure enclaves