啟用 Azure SQL Database 中使用安全記憶體保護區的 Always Encrypted

適用於：Azure SQL Database

在 Azure SQL 資料庫中，具有安全記憶體保護區的 Always Encrypted 可以使用 Intel Software Guard Extensions (Intel SGX) 記憶體保護區或虛擬化型安全性 (VBS) 記憶體保護區。 如需詳細資訊，請參閱規劃 Azure SQL Database 中的安全記憶體保護區。

Intel SGX 記憶體保護區

若要讓 Intel SGX 可供使用，資料庫必須使用 vCore 模型和 DC 系列硬體。

設定 DC 系列硬體來啟用 Intel SGX 記憶體保護區，是 Azure SQL Database 管理員的責任。 如需詳細資訊，請參閱設定 Intel SGX 記憶體保護區和證明時的角色和責任。

注意

DC 系列以外的硬體設定無法使用 Intel SGX。 例如，標準系列 (第 5 代) 硬體及使用 DTU 模型的資料庫均無法使用 Intel SGX。

重要

在您為資料庫設定 DC 系列硬體之前，請先檢查 DC 系列的區域可用性，並確定您了解其效能限制。 如需詳細資訊，請參閱 DC 系列。

如需設定全新或現有資料庫以使用特定硬體設定的詳細指示，請參閱硬體設定。

後續步驟

• 為 Azure SQL 資料庫伺服器設定 Azure 證明

VBS 記憶體保護區

根據預設，系統會建立新的資料庫，而不需要 VBS記憶體保護區。 若要在資料庫或彈性集區中啟用 VBS 記憶體保護區，您必須將 preferredEnclaveType資料庫屬性設定為 VBS，以啟用資料庫或彈性集區的 VBS 記憶體保護區。 您可以在建立新的資料庫或彈性集區時，或藉由更新現有的資料庫或彈性集區來設定 preferredEnclaveType 。 您新增至彈性集區的任何資料庫都會從中繼承記憶體保護區屬性，例如資料庫 SLO。 因此，如果您將未啟用 VBS記憶體保護區的資料庫新增至已啟用 VBS 的彈性集區，這個新的資料庫就會成為彈性集區的一部分，而且此資料庫將會在此資料庫上啟用 VBS 記憶體保護區。 不支援將已啟用 VBS 記憶體保護區的資料庫新增至彈性集區，但不支援 VBS 記憶體保護區。

您可以使用 Azure 入口網站、SQL Server Management Studio、Azure PowerShell 或 Azure CLI 來設定 preferredEnclaveType 属性。

使用 Azure 入口網站 啟用 VBS 記憶體保護區

使用 VBS 記憶體保護區建立新的資料庫或彈性集區

1. 開啟 Azure 入口網站，並找出您想要使用 VBS 記憶體保護區建立資料庫或彈性集區的邏輯 SQL Server。

2. 選取 [ 建立資料庫 ] 或 [ 新增彈性集區 ] 按鈕。

3. 在 [安全性] 索引標籤中，找出 [Always Encrypted] 區段。

4. 將 [啟用安全記憶體保護區] 設定為 [開啟]。 這會建立已啟用 VBS記憶體保護區的資料庫。

   

為現有的資料庫或彈性集區啟用 VBS 記憶體保護區

1. 開啟 Azure 入口網站，並找出您要為其啟用安全記憶體保護區的資料庫或彈性集區。

2. 針對現有的資料庫：

   1. 在 [ 安全性 設定] 中，選取 [ 數據加密]。

   2. 在 [ 數據加密 ] 功能表中，選取 [ 永遠加密] 索引標籤 。

   3. 將 [啟用安全記憶體保護區] 設定為 [開啟]。

      

   4. 選取 [ 儲存 ] 以儲存您的 Always Encrypted 組態。

3. 針對現有的彈性集區：

   1. 在 [設定] 中，選取 [組態]。

   2. 在 [ 組態 ] 功能表中，選取 [ 永遠加密] 索引卷標 。

   3. 將 [啟用安全記憶體保護區] 設定為 [開啟]。

      

   4. 選取 [ 儲存 ] 以儲存您的 Always Encrypted 組態。

使用 SQL Server Management Studio 啟用 VBS 記憶體保護區

下載最新版的 SQL Server Management Studio (SSMS)。

使用 VBS 記憶體保護區建立新的資料庫

1. 開啟 SSMS 並連線到您要在其中建立資料庫的邏輯伺服器。
2. 以滑鼠右鍵按兩下 [資料庫] 資料夾，然後選取[ 新增資料庫...
3. 在 [設定 SLO] 頁面中，將 [啟用安全記憶體保護區] 選項設定為 [開啟]。 這會建立已啟用 VBS記憶體保護區的資料庫。

為現有的資料庫啟用 VBS記憶體保護區

1. 開啟 SSMS 並連線到您要修改資料庫的邏輯伺服器。
2. 以滑鼠右鍵按兩下資料庫，然後選取 [ 屬性]。
3. 在 [設定 SLO] 頁面中，將 [啟用安全記憶體保護區] 選項設定為 [開啟]。
4. 選取 [ 確定 ] 以儲存資料庫屬性。

使用 Azure PowerShell 啟用 VBS 記憶體保護區

使用 VBS 記憶體保護區建立新的資料庫或彈性集區

使用 New-AzSqlDatabase Cmdlet，建立具有 VBS 記憶體保護區功能的新資料庫。 下列範例會建立具有 VBS 記憶體保護區的無伺服器資料庫。

New-AzSqlDatabase  -ResourceGroupName "ResourceGroup01" `
    -ServerName "Server01" `
    -DatabaseName "Database01" `
    -Edition GeneralPurpose `
    -ComputeModel Serverless `
    -ComputeGeneration Gen5 `
    -VCore 2 `
    -MinimumCapacity 2 `
    -PreferredEnclaveType VBS

使用 New-AzSqlElasticPool Cmdlet 建立具有 VBS 記憶體保護區的新彈性集區。 下列範例會建立具有 VBS 記憶體保護區的彈性集區。

New-AzSqlElasticPool ` 
    -ComputeGeneration Gen5 `
    -Edition 'GeneralPurpose' `
    -ElasticPoolName $ElasticPoolName `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -VCore 2 `
    -PreferredEnclaveType 'VBS'

為現有的資料庫或彈性集區啟用 VBS 記憶體保護區

若要啟用現有資料庫的 VBS 記憶體保護區功能，請改用 Set-AzSqlDatabase Cmdlet。 以下為範例：

Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
    -DatabaseName "Database01" `
    -ServerName "Server01" `
    -PreferredEnclaveType VBS

若要為現有的彈性集區啟用 VBS 記憶體保護區，請使用 Set-AzSqlElasticPool Cmdlet。 以下是範例：

Set-AzSqlElasticPool `
    -ResourceGroupName $resourceGroupName `
    -ServerName $serverName `
    -ElasticPoolName $ElasticPoolName `
    -PreferredEnclaveType 'VBS' 

使用 Azure CLI 啟用 VBS 記憶體保護區

使用 VBS 記憶體保護區建立新的資料庫或彈性集區

使用 az sql db create Cmdlet，建立具有 VBS 記憶體保護區功能的新資料庫。 下列範例會建立具有 VBS 記憶體保護區的無伺服器資料庫。

az sql db create -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    -e GeneralPurpose `
    --compute-model Serverless `
    -f Gen5 `
    -c 2 `
    --min-capacity 2 `
    --preferred-enclave-type VBS 

使用 az sql elastic-pool create Cmdlet 建立具有 VBS 記憶體保護區的新彈性集區。 下列範例會建立具有 VBS 記憶體保護區的無伺服器資料庫。

az sql elastic-pool create -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    -e GeneralPurpose `
    -f Gen5 `
    -c 2 `
    --preferred-enclave-type VBS

為現有的資料庫或彈性集區啟用 VBS 記憶體保護區

若要啟用現有資料庫的 VBS 記憶體保護區功能，請改用 az sql db update Cmdlet。 以下為範例：

az sql db update -g ResourceGroup01 `
    -s Server01 `
    -n Database01 `
    --preferred-enclave-type VBS

若要為現有的彈性集區啟用 VBS 記憶體保護區，請使用 az sql elastic-pool update Cmdlet。 以下為範例：

az sql elastic-pool update -g ResourceGroup01 `
    -s Server01 `
    -n ElasticPool01 `
    --preferred-enclave-type VBS

另請參閱

• 開始使用具有安全記憶體保護區的 Always Encrypted