Invoke-SqlColumnMasterKeyRotation
Inicia a rotação de uma chave mestra de coluna.
Syntax
Invoke-SqlColumnMasterKeyRotation
-SourceColumnMasterKeyName <String>
-TargetColumnMasterKeyName <String>
[-KeyVaultAccessToken <String>]
[-ManagedHsmAccessToken <String>]
[-InputObject] <Database>
[-Script]
[-AccessToken <PSObject>]
[-TrustServerCertificate]
[-HostNameInCertificate <String>]
[-Encrypt <String>]
[<CommonParameters>] Invoke-SqlColumnMasterKeyRotation
-SourceColumnMasterKeyName <String>
-TargetColumnMasterKeyName <String>
[-KeyVaultAccessToken <String>]
[-ManagedHsmAccessToken <String>]
[[-Path] <String>]
[-Script]
[-AccessToken <PSObject>]
[-TrustServerCertificate]
[-HostNameInCertificate <String>]
[-Encrypt <String>]
[<CommonParameters>] Description
O cmdlet Invoke-SqlColumnMasterKeyRotation inicia a substituição de uma coluna de origem existente master chave por uma nova coluna de destino master chave para o recurso de Always Encrypted.
O cmdlet recupera todos os objetos de chave de criptografia de coluna que contêm valores de chave criptografados criptografados com a coluna de origem especificada master chave.
Em seguida, o cmdlet descriptografa os valores criptografados atuais, criptografa novamente os valores de texto sem formatação resultantes com a coluna de destino master chave e atualiza os objetos de chave de criptografia de coluna afetados para adicionar os novos valores criptografados.
Como resultado, cada chave de criptografia de coluna afetada contém dois valores criptografados: um produzido usando a coluna de origem atual master chave e outra, produzido usando a coluna de destino master chave.
Se uma origem ou uma coluna de destino master chave estiver armazenada no Azure, você precisará especificar um token de autenticação válido (ou tokens) para um cofre de chaves ou um HSM gerenciado que contém a chave. Como alternativa, você pode autenticar no Azure com Add-SqlAzureAuthenticationContext antes de chamar esse cmdlet.
Module requirements: version 21+ on PowerShell 5.1; version 22+ on PowerShell 7.x.
Exemplos
Exemplo 1: inicie o processo de rotação da coluna master chave.
Invoke-SqlColumnMasterKeyRotation -SourceColumnMasterKeyName "CMK1" -TargetColumnMasterKeyName "CMK2"Esse comando inicia o processo de girar a coluna master chave chamada CMK1 e substituí-la pela coluna master chave chamada CMK2.
Exemplo 2: Iniciar o processo de rotação da coluna master chave com tokens de autenticação especificados
# Connect to Azure account.
Import-Module Az.Accounts -MinimumVersion 2.2.0
Connect-AzAccount
# Obtain access tokens.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token
$managedHSMAccessToken = (Get-AzAccessToken -ResourceUrl https://managedhsm.azure.net).Token
# Pass the tokens to the cmdlet.
Invoke-SqlColumnMasterKey -SourceColumnMasterKeyName CMK1 -TargetColumnMasterKeyName CMK2 -KeyVaultAccessToken $keyVaultAccessToken -ManagedHSMAccessToken $managedHSMAccessTokenO exemplo inicia o processo de girar a coluna master chave chamada CMK1 e substituí-la pela coluna master chave chamada CMK2.
Presumimos que uma das chaves esteja armazenada em um cofre de chaves e a outra chave seja armazenada em um HSM gerenciado no Azure Key Vault.
O Invoke-SqlColumnMasterKey usará os tokens de autenticação obtidos para se comunicar com o cofre de chaves e os pontos de extremidade HSM gerenciados.
Parâmetros
-AccessToken
O token de acesso usado para autenticar para SQL Server, como uma alternativa ao usuário/senha ou à Autenticação do Windows.
Isso pode ser usado, por exemplo, para se conectar SQL Azure DB e SQL Azure Managed Instance usar um Service Principal ou um Managed Identity.
O parâmetro a ser usado pode ser uma cadeia de caracteres que representa o token ou um PSAccessToken objeto conforme retornado executando Get-AzAccessToken -ResourceUrl https://database.windows.net.
Esse parâmetro é novo na v22 do módulo.
| Type: | PSObject |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Encrypt
O tipo de criptografia a ser usado ao se conectar a SQL Server.
Esse valor é mapeado para a Encrypt propriedade SqlConnectionEncryptOption no objeto SqlConnection do driver Microsoft.Data.SqlClient.
Na v22 do módulo, o padrão é Optional (para compatibilidade com v21). Na v23+ do módulo, o valor padrão será 'Obrigatório', o que pode criar uma alteração interruptiva para scripts existentes.
Esse parâmetro é novo na v22 do módulo.
| Type: | String |
| Accepted values: | Mandatory, Optional, Strict |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-HostNameInCertificate
O nome do host a ser usado na validação do certificado TLS/SSL do SQL Server. Você deve passar esse parâmetro se sua instância de SQL Server estiver habilitada para o Force Encryption e quiser se conectar a uma instância usando nome de host/nome curto. Se esse parâmetro for omitido, passar o FQDN (Nome de Domínio Totalmente Qualificado) para -ServerInstance será necessário para se conectar a uma instância de SQL Server habilitada para o Force Encryption.
Esse parâmetro é novo na v22 do módulo.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InputObject
Especifica o objeto do banco de dados SQL, para o qual esse cmdlet executa a operação.
| Type: | Database |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
-KeyVaultAccessToken
Especifica um token de acesso para cofres de chaves no Key Vault do Azure. Use esse parâmetro se a coluna atual e/ou de destino master chave estiver armazenada em um cofre de chaves no Azure Key Vault.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-ManagedHsmAccessToken
Especifica um token de acesso para HSMs gerenciados no Azure Key Vault. Use esse parâmetro se a coluna atual e/ou de destino master chave estiver armazenada em um HSM gerenciado no Azure Key Vault.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Path
Especifica o caminho do banco de dados SQL, para o qual esse cmdlet executa a operação.
Se você não especificar um valor para esse parâmetro, o cmdlet usará o local de trabalho atual.
| Type: | String |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Script
Indica que esse cmdlet executa um script Transact-SQL que executa a tarefa.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-SourceColumnMasterKeyName
Especifica o nome da coluna de origem master chave.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-TargetColumnMasterKeyName
Especifica o nome da coluna de destino master chave.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-TrustServerCertificate
Indica se o canal será criptografado ao ignorar a cadeia de certificados para validar a confiança.
Na v22 do módulo, o padrão é $true (para compatibilidade com v21). Na v23+ do módulo, o valor padrão será '$false', o que pode criar uma alteração interruptiva para scripts existentes.
Esse parâmetro é novo na v22 do módulo.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Entradas
Microsoft.SqlServer.Management.Smo.Database