Saydam Veri Şifrelemesi (TDE) koruyucusunu döndürmeRotate the Transparent Data Encryption (TDE) protector

Uygulama hedefi: Azure SQL veritabanı Azure SYNAPSE Analytics

Bu makalede, Azure Key Vault 'den bir TDE koruyucusu kullanan bir sunucu için anahtar döndürme açıklanmaktadır.This article describes key rotation for a server using a TDE protector from Azure Key Vault. Bir sunucu için mantıksal TDE koruyucuyu döndürme, sunucudaki veritabanlarını koruyan yeni bir asimetrik anahtara geçme anlamına gelir.Rotating the logical TDE Protector for a server means switching to a new asymmetric key that protects the databases on the server. Anahtar döndürme bir çevrimiçi işlemdir ve yalnızca birkaç saniye sürer, çünkü bu yalnızca veritabanının veri şifreleme anahtarını çözer ve veritabanının tamamını değil, yeniden şifreler.Key rotation is an online operation and should only take a few seconds to complete, because this only decrypts and re-encrypts the database's data encryption key, not the entire database.

Bu kılavuzda, sunucuda TDE koruyucusunu döndürmek için iki seçenek ele alınmaktadır.This guide discusses two options to rotate the TDE protector on the server.

Not

Azure SYNAPSE Analytics 'te duraklatılan adanmış bir SQL havuzu, anahtar döndürmelerinde devam etmelidir.A paused dedicated SQL pool in Azure Synapse Analytics must be resumed before key rotations.

Önemli

Bir geçişten sonra anahtarın önceki sürümlerini silmeyin.Do not delete previous versions of the key after a rollover. Anahtarlar devralındığında, bazı veriler, daha eski veritabanı yedeklemeleri gibi önceki anahtarlarla de şifrelenir.When keys are rolled over, some data is still encrypted with the previous keys, such as older database backups.

ÖnkoşullarPrerequisites

  • Bu nasıl yapılır kılavuzunda, Azure SQL veritabanı veya Azure SYNAPSE Analytics için TDE koruyucusu olarak Azure Key Vault bir anahtar kullandığınızı varsaymış olursunuz.This how-to guide assumes that you are already using a key from Azure Key Vault as the TDE protector for Azure SQL Database or Azure Synapse Analytics. Bkz. BYOK desteği ile saydam veri şifrelemesi.See Transparent Data Encryption with BYOK Support.
  • Azure PowerShell yüklü ve çalışıyor olmanız gerekir.You must have Azure PowerShell installed and running.
  • [Önerilir, ancak isteğe bağlı] Önce bir donanım güvenlik modülünde (HSM) veya yerel anahtar deposunda TDE koruyucusu için anahtar malzemesi oluşturun ve Azure Key Vault için anahtar malzemesini içeri aktarın.[Recommended but optional] Create the key material for the TDE protector in a hardware security module (HSM) or local key store first, and import the key material to Azure Key Vault. Daha fazla bilgi edinmek için donanım güvenlik modülü (HSM) kullanma ve Key Vault yönergelerini izleyin.Follow the instructions for using a hardware security module (HSM) and Key Vault to learn more.

Az modülü yükleme yönergeleri için bkz. Azure PowerShell'i yükleme.For Az module installation instructions, see Install Azure PowerShell. Belirli cmdlet 'ler için bkz. Azurerd. SQL.For specific cmdlets, see AzureRM.Sql.

Önemli

PowerShell Azure Resource Manager (RM) modülü hala desteklenmektedir, ancak gelecekteki tüm geliştirmeler az. SQL modülüne yöneliktir.The PowerShell Azure Resource Manager (RM) module is still supported, but all future development is for the Az.Sql module. AzureRM modülü, en az Aralık 2020 ' e kadar hata düzeltmeleri almaya devam edecektir.The AzureRM module will continue to receive bug fixes until at least December 2020. Az Module ve Azurerd modüllerinde komutların bağımsız değişkenleri önemli ölçüde aynıdır.The arguments for the commands in the Az module and in the AzureRm modules are substantially identical. Uyumluluklarını hakkında daha fazla bilgi için bkz. new Azure PowerShell konusuna giriş az Module.For more about their compatibility, see Introducing the new Azure PowerShell Az module.

El ile anahtar döndürmeManual key rotation

El ile anahtar döndürme, yeni bir anahtar adı ya da başka bir Anahtar Kasası altında olabilecek tamamen yeni bir anahtar eklemek için aşağıdaki komutları kullanır.Manual key rotation uses the following commands to add a completely new key, which could be under a new key name or even another key vault. Bu yaklaşımın kullanılması, yüksek kullanılabilirlik ve coğrafi Dr senaryolarını desteklemek üzere farklı anahtar kasalarına aynı anahtarı eklemeyi destekler.Using this approach supports adding the same key to different key vaults to support high-availability and geo-dr scenarios.

Not

Anahtar Kasası adı ve anahtar adının birleşik uzunluğu 94 karakteri aşamaz.The combined length for the key vault name and key name cannot exceed 94 characters.

Add-AzKeyVaultKey, Add-AzSqlServerKeyVaultKeyve set-AzSqlServerTransparentDataEncryptionProtector cmdlet 'lerini kullanın.Use the Add-AzKeyVaultKey, Add-AzSqlServerKeyVaultKey, and Set-AzSqlServerTransparentDataEncryptionProtector cmdlets.

# add a new key to Key Vault
Add-AzKeyVaultKey -VaultName <keyVaultName> -Name <keyVaultKeyName> -Destination <hardwareOrSoftware>

# add the new key from Key Vault to the server
Add-AzSqlServerKeyVaultKey -KeyId <keyVaultKeyId> -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>
  
# set the key as the TDE protector for all resources under the server
Set-AzSqlServerTransparentDataEncryptionProtector -Type AzureKeyVault -KeyId <keyVaultKeyId> `
   -ServerName <logicalServerName> -ResourceGroup <SQLDatabaseResourceGroupName>

TDE koruyucu modunu değiştirSwitch TDE protector mode

Sonraki adımlarNext steps