SQL Server Management Studio を使用した Always Encrypted の構成Configure Always Encrypted using SQL Server Management Studio

適用対象:Applies to: はいSQL ServerSQL Server (サポートされているすべてのバージョン) yesSQL ServerSQL Server (all supported versions) はいAzure SQL データベースAzure SQL DatabaseYesAzure SQL データベースAzure SQL Database適用対象:Applies to: はいSQL ServerSQL Server (サポートされているすべてのバージョン) yesSQL ServerSQL Server (all supported versions) はいAzure SQL データベースAzure SQL DatabaseYesAzure SQL データベースAzure SQL Database

この記事では、 SQL Server Management Studio (SSMS)を使用して Always Encrypted を構成し、Always Encrypted を使用したデータベースを管理するためのタスクについて説明します。This article describes tasks for configuring Always Encrypted and managing databases that use Always Encrypted with SQL Server Management Studio (SSMS).

SSMS を使用して Always Encrypted を構成するときのセキュリティに関する考慮事項Security Considerations when using SSMS to Configure Always Encrypted

SSMS を使用して Always Encrypted を構成する場合、SSMS によって Always Encrypted のキーと機密データの両方が処理されます。結果、キーとデータは両方とも SSMS プロセス内ではプレーンテキストの形式で表示されます。When you use SSMS to configure Always Encrypted, SSMS handles both Always Encrypted keys and sensitive data, so both the keys and the data appear in plaintext inside the SSMS process. したがって、セキュリティで保護されたコンピューターで SSMS を実行することが重要です。Therefore, it's important you run SSMS on a secure computer. データベースが SQL Server でホストされている場合は、SQL Server インスタンスをホストするコンピューターとは異なるコンピューターで SSMS を実行する必要があります。If your database is hosted in SQL Server, make sure SSMS runs on a different computer than the computer hosting your SQL Server instance. Always Encrypted の主な目的は、データベース システムが侵害されても、暗号化された機密データが確実に保護されるようにすることにあるので、SQL Server コンピューター上でキーまたは機密データを処理する PowerShell スクリプトが実行されると、機能の効果が低下したり無効になったりするおそれがあります。As the primary goal of Always Encrypted is to ensure encrypted sensitive data is safe even if the database system gets compromised, executing a PowerShell script that processes keys or sensitive data on the SQL Server computer can reduce or defeat the benefits of the feature. 追加の推奨事項については、 Security Considerations for Key Management(キー管理でのセキュリティに関する考慮事項) を参照してください。For additional recommendations, see Security Considerations for Key Management.

SSMS では、データベースを管理するユーザー (DBA) と、暗号化された機密情報を管理し、プレーンテキスト データへのアクセス権を持つユーザー (セキュリティ管理者かアプリケーション管理者または両者) の間で、ロールの分離はサポートされていません。SSMS doesn't support role separation between those who manage the database (DBAs) and those who manage cryptographic secrets and have access to plaintext data (Security Administrators and/or Application Administrators). 組織でロールの分離が実施される場合は、PowerShell を使用して Always Encrypted を構成する必要があります。If your organization enforces role separation, you should use PowerShell to configure Always Encrypted. 詳細については、「Always Encrypted のキー管理の概要」および「PowerShell を使用した Always Encrypted の構成」を参照してください。For more information, see Overview of Key Management for Always Encrypted and Configure Always Encrypted using PowerShell.

SSMS を使用した Always Encrypted のタスクAlways Encrypted Tasks using SSMS

参照See Also