使用 Azure Key Vault 進行可延伸金鑰管理 (SQL Server)

適用於：SQL Server

適用於 Microsoft Azure Key Vault 的 SQL Server 連接器可讓 SQL Server 加密使用 Microsoft Azure Key Vault 作為可延伸金鑰管理 (EKM) 提供者，以保護 SQL Server 加密金鑰。

本主題說明 SQL Server 連接器。 如需其他資訊，請參閱使用 Azure Key Vault 進行可延伸金鑰管理的設定步驟、搭配使用 SQL Server 連接器與 SQL 加密功能和 SQL Server 連接器維護和疑難排解。

什麼是可延伸金鑰管理 (EKM) 以及使用它的原因？

SQL Server 提供數種類型的加密來協助保護敏感性資料，包括透明資料加密 (TDE)、資料行層級加密 (CLE) 和備份加密。 在上述所有情況的這個傳統金鑰階層中，資料會使用對稱資料加密金鑰 (DEK) 進行加密。 對稱資料加密金鑰會以儲存在 SQL Server 中的金鑰階層加密，受到更進一步的保護。 替代方案是 EKM 提供者模型，而不是此模型。 使用 EKM 提供者結構可讓 SQL Server 透過儲存在 SQL Server 之外部密碼編譯提供者中的非對稱金鑰，來保護資料加密金鑰。 此模型會多增加一層安全性，並分開管理金鑰和資料。

下圖比較使用 Azure 金鑰保存庫系統的傳統服務管理金鑰階層。

SQL Server 連接器是作為 SQL Server 與 Azure Key Vault 之間的橋接器，因此 SQL Server 可以運用 Azure Key Vault 服務的延展性、高效能和高可用性。 下圖代表金鑰階層結構在具有 Azure Key Vault 和 SQL Server 連接器的 EKM 提供者結構中的運作方式。

Azure Key Vault 可以與 Microsoft Azure 虛擬機器和內部部署伺服器上的 SQL Server 安裝搭配使用。 金鑰保存庫服務也提供選項，以使用受到緊密控制和監視的硬體安全性模組 (HSM)，對非對稱加密金鑰提供更高等級的保護。 如需金鑰保存庫的詳細資訊，請參閱 Azure 金鑰保存庫。

下列影像摘要說明使用金鑰保存庫的 EKM 處理流程。 (影像中的程序步驟數字並非用以比對遵循影像的安裝步驟數字。)

注意

1\.0.0.440 版和較舊版本皆已被取代，而且生產環境也不再支援。 請瀏覽 Microsoft 下載中心，使用 SQL Server 連接器維護和疑難排解頁面中「SQL Server 連接器升級」下的指示，升級至 1.0.1.0 版或更新版本。

如需下一個步驟，請參閱 使用 Azure 金鑰保存庫進行可延伸金鑰管理的設定步驟。

如需使用案例，請參閱 搭配使用 SQL Server 連接器與 SQL 加密功能。

另請參閱

SQL Server 連接器維護 & 疑難排解