Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:SQL Server
In diesem Artikel installieren und konfigurieren Sie den SQL Server Connector für Azure Key Vault und konfigurieren dann Transparent Data Encryption (TDE) mithilfe eines Schlüssels in Azure Key Vault.
Voraussetzungen
Bevor Sie mit der Verwendung von Azure Key Vault mit Ihrer SQL Server Instanz beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
Sie benötigen ein Azure-Abonnement.
Installieren Sie Azure PowerShell Version 5.2.0 oder höher.
Erstellen Sie einen Microsoft Entra-Mandanten.
Überprüfen Sie die Prinzipien des EKM-Speichers (Extensible Key Management) mit Azure Key Vault. Siehe Extensible Key Management Using Azure Key Vault (SQL Server).
Sie können die Registrierung auf dem computer SQL Server ändern.
Installieren Sie die Version von Visual C++ Redistributable für Visual Studio, die auf der von Ihnen ausgeführten Version von SQL Server basiert:
SQL Server-Version Visual Studio C++ Redistributable-Version 2008, 2008 R2, 2012, 2014 Visual C++ Redistributable-Pakete für Visual Studio 2013 2016, 2017, 2019, 2022, 2025 Visual C++ Redistributable für Visual Studio 2015 Lesen Sie Access Azure Key Vault hinter einer Firewall, wenn Sie den SQL Server Connector für Azure Key Vault hinter einer Firewall oder mit einem Proxyserver verwenden möchten.
Note
Ab SQL Server 2022 (16.x) CU 12 und höheren Versionen unterstützt SQL Server unter Linux TDE Extensible Key Management mit Azure Key Vault. Die Schritte 3 und 4 in dieser Anleitung sind für SQL Server für Linux nicht erforderlich.
Schneller Fluss
- Wählen Sie in Schritt 1 ein Authentifizierungsmodell aus: Einrichten des Authentifizierungsmodells.
- Erstellen Sie einen Schlüsseltresor und einen Schlüssel in Schritt 2: Erstellen eines Schlüsseltresors.
- Installieren Sie den Connector in Schritt 3: Installieren Sie den SQL Server Connector.
- Konfigurieren Sie die Registrierungsvoraussetzungen in Schritt 4: Hinzufügen eines Registrierungsschlüssels zur Unterstützung des EKM-Anbieters.
- Konfigurieren Sie SQL Server und überprüfen Sie die Verschlüsselung in Schritt 5: Konfigurieren von SQL Server.
Schritt 1: Einrichten des Authentifizierungsmodells
Important
Wählen Sie Ihr Authentifizierungsmodell aus, bevor Sie fortfahren:
- Verwenden Sie die Registerkarte "Dienstprinzipal" für SQL Server lokal.
- Verwenden Sie die Registerkarte "Verwaltete Identität" für SQL Server auf Azure VMs oder SQL Server, die von Azure Arc aktiviert wurden, wobei verwaltete Identität unterstützt wird.
Unterstützungsmatrix des Authentifizierungsmodells:
| Authentifizierungsmodell | SQL Server-Version | Wo SQL Server ausgeführt wird | Unterstützt |
|---|---|---|---|
| Service Principal | Unterstützte Versionen, die in diesem Artikel behandelt werden | Lokal, Azure VM, SQL Server mit Azure Arc aktiviert | Ja |
| Verwaltete Identität | SQL Server 2022 CU17 und höher | Azure-VM | Ja |
| Verwaltete Identität | SQL Server 2025 und höher | SQL Server durch Azure Arc aktiviert | Ja |
| Verwaltete Identität | Any | On-premises | No |
Um Ihrer SQL Server-Instanz Zugriffsberechtigungen für Ihren Azure Key Vault zu erteilen, benötigen Sie ein Dienstprinzipalkonto in Microsoft Entra ID.
Melden Sie sich beim Azure-Portal an, und führen Sie eine der folgenden Schritte aus:
Wählen Sie die Schaltfläche Microsoft Entra ID.
Wählen Sie Weitere Dienste aus und geben Sie dann im Bereich Alle DiensteMicrosoft Entra ID ein.
Registrieren Sie eine Anwendung mit Microsoft Entra ID, indem Sie die folgenden Schritte ausführen. Detaillierte Schritt-für-Schritt-Anweisungen finden Sie im Abschnitt Erhalten Sie eine Identität für die Anwendung im Azure Key Vault-Blogbeitrag, Azure Key Vault – Schritt für Schritt.
Wählen Sie im Abschnitt Verwalten Ihrer Microsoft Entra ID-Ressource die Option App-Registrierungen.
Wählen Sie im Menüband auf der Seite App-Registrierungen die Option Neue Registrierung aus.
Geben Sie im Bereich Anwendung registrieren den Benutzernamen für die App ein, und wählen Sie dann Registrieren aus.
Wählen Sie im linken Bereich Zertifikate & Geheimnisse>Geheime Clientschlüssel>Neuer geheimer Clientschlüssel aus.
Geben Sie unter Geheimen Clientschlüssel hinzufügen eine Beschreibung und eine entsprechende Ablaufzeit ein, und wählen Sie dann Hinzufügen aus. Sie können keinen Ablaufzeitraum von mehr als 24 Monaten auswählen. Weitere Informationen finden Sie unter Hinzufügen eines geheimen Clientschlüssels.
Wählen Sie im Bereich
"Zertifikate & Geheime Schlüssel " unter"Wert " die Schaltfläche "Kopieren " neben dem Wert des geheimen Clientschlüssels aus, um einen asymmetrischen Schlüssel in SQL Server zu erstellen.
Wählen Sie im linken Bereich die Option "Übersicht" aus, und kopieren Sie dann im Feld "Anwendungs-ID" den Wert, um ihn zu verwenden, um einen asymmetrischen Schlüssel in SQL Server zu erstellen.
Schritt 2: Erstellen eines Schlüsseltresors
Wählen Sie die Methode aus, mit der Sie einen Schlüsseltresor erstellen möchten.
Note
Nur Azure Key Vault und Azure Key Vault Managed HSM werden unterstützt. Azure Cloud HSM wird nicht unterstützt.
Erstellen Sie einen Schlüsseltresor mit dem Azure-Portal
Informationen zum Erstellen eines Schlüsseltresors mithilfe des Azure-Portals finden Sie in der Schnellstartanleitung: Erstellen eines Schlüsseltresors mithilfe des Azure-Portals.
Rollenbasierte Zugriffssteuerung in Azure
Verwenden Sie Azure rollenbasierte Zugriffssteuerung (RBAC), um den Zugriff auf die Azure Key Vault zu verwalten. Verwenden Sie keine veralteten Zugriffsrichtlinien. Legacyzugriffsrichtlinien haben bekannte Sicherheitsrisiken, fehlen unterstützung für Privileged Identity Management (PIM) und sollten nicht für kritische Daten und Workloads verwendet werden. Weitere Informationen zu Azure Key Vault RBAC-Berechtigungen finden Sie unter In Azure integrierte Rollen für Key Vault-Vorgänge auf Datenebene.
Wechseln Sie zu der von Ihnen erstellten Schlüsseltresorressource und wählen Sie die Zugriffssteuerungseinstellung (IAM) aus.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus.
Die EKM-Anwendung oder verwaltete Identität benötigt die Rolle Key Vault Crypto Service Encryption User, um Wrap- und Unwrapvorgänge durchzuführen. Suchen Sie nach Key Vault Crypto Service Encryption User und wählen Sie die Rolle aus. Wählen Sie Weiteraus.
Wählen Sie auf der Registerkarte "Mitglieder" die Option "Mitglieder auswählen" aus, und suchen Sie dann nach der Microsoft Entra Anwendung oder verwalteter Identität, die Sie in Schritt 1 erstellt haben. Wählen Sie die Anwendung oder verwaltete Identität und dann die Schaltfläche "Auswählen" aus .
Wählen Sie zweimal Überprüfen und zuweisen, um die Rollenzuweisung abzuschließen.
Einen Schlüssel erstellen
Der Benutzer, der den Schlüssel erstellt, benötigt die Schlüsseltresoradministratorrolle. Fügen Sie wie bei den vorherigen Schritten das Mitglied hinzu, das den Schlüssel erstellt, und weisen Sie die Rolle zu.
Wählen Sie im Bereich Schlüsseltresor die Option Schlüssel und dann die Option Erstellen/Importieren. Diese Aktion öffnet den Bereich "Schlüssel erstellen". Wählen Sie Option Generieren aus und geben Sie einen Namen für den Schlüssel ein. Für den SQL Server-Connector ist es erforderlich, dass im Schlüsselnamen nur die Zeichen „a-z“, „A-Z“, „0-9“ und „-“ bei einem Zeichenlimit von 26 Zeichen verwendet werden.
Verwenden Sie den Schlüsseltyp RSA und die RSA-Schlüsselgröße von 2048. EKM unterstützt derzeit nur einen RSA-Schlüssel. Legen Sie die Werte für Aktivierungs- und Ablaufdatum entsprechend fest, und legen Sie Aktiviert auf Ja fest.
Konfigurieren eines Azure Key Vault verwalteten HSM (optional)
Azure Key Vault Managed HSM (Hardware Security Module) unterstützt SQL Server, SQL Server auf virtuellen Azure-Computern (VMs) und Azure SQL, wenn Sie die neueste Version des SQL Server Connector verwenden. Der Managed HSM ist ein vollständig verwalteter HSM-Dienst mit hoher Verfügbarkeit und Single-Tenant-Architektur. Das verwaltete HSM bietet eine sichere Grundlage für kryptografische Operationen und Schlüsselspeicher. Das verwaltete HSM ist darauf ausgelegt, die strengsten Sicherheits- und Complianceanforderungen zu erfüllen.
In Schritt 2 wird gezeigt, wie Sie einen Schlüsseltresor und einen Schlüssel in Azure Key Vault erstellen. Optional können Sie ein Azure Key Vault managed HSM verwenden, um einen Schlüssel für den SQL Server Connector zu speichern oder zu erstellen. führen Sie die folgenden Schritte aus:
Erstellen Sie mithilfe des Azure Portals, der Azure CLI, PowerShell oder einer ARM-Vorlage eine Azure Key Vault managed HSM.
Aktivieren Sie das verwaltete HSM. Nur die vorgesehenen Administratoren, die während der Erstellung zugewiesen wurden, können sie aktivieren. Wählen Sie im Azure Portal die verwaltete HSM-Ressource aus, und wählen Sie dann im Menü "Übersicht" die Option "Sicherheitsdomäne herunterladen" aus. Folgen Sie einer der Schnellstarts, um Ihr verwaltetes HSM zu aktivieren.
Erteilen Sie dem Microsoft Entra Serviceprinzipal oder der verwalteten Identität Berechtigungen für den Zugriff auf den Managed HSM. Die Rolle Administrator*in für verwaltete HSMs erteilt keine Berechtigungen zum Erstellen eines Schlüssels. Ähnlich wie in Schritt 2 benötigt die EKM-Anwendung oder verwaltete Identität die Rolle "Managed HSM Crypto User " oder "Managed HSM Crypto Service Encryption User ", um Wrap- und Unrap-Vorgänge auszuführen. Weitere Informationen finden Sie unter Eingebaute Rollen des lokalen RBAC für verwaltetes HSM.
Wählen Sie im Menü des von Azure Key Vault verwalteten HSM-Diensts unter Einstellung die Option Schlüssel aus. Wählen Sie im Fenster Schlüssel die Option Generieren/Importieren/Sicherung wiederherstellen aus, um einen Schlüssel zu erstellen oder einen vorhandenen Schlüssel zu importieren.
Note
Algorithmen RSA-HSM_2048 und RSA-HSM_3072 werden ab SQL Server 2022 (16.x) kumulativem Update 13 unterstützt.
Azure Key Vault Managed HSM unterstützt die automatische Schlüsseldrehung. Weitere Informationen finden Sie unter Konfigurieren der automatischen Schlüsselrotation in verwaltetem HSM in Azure.
Verwaltetes HSM unterstützt Verbindungen mit privaten Endpunkten. Weitere Informationen finden Sie unter Integrieren des verwalteten HSM in Azure Private Link. In dieser Konfiguration müssen Sie in der Netzwerk-Einstellung von Azure Key Vault Managed HSM die Option Umgehung für vertrauenswürdige Microsoft-Dienste aktivieren.
Schritt 3: Installieren des SQL Server-Connectors
Lassen Sie einen SQL Server Administrator die neueste Version des SQL Server Connectors für Microsoft Azure Key Vault aus dem Microsoft Download Center herunterladen und das Installationsprogramm ausführen.
Standardmäßig wird der Connector unter C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault installiert. Sie können diesen Speicherort während des Setups ändern. Wenn Sie dies ändern, passen Sie die Skripts im nächsten Abschnitt an.
Bei einer erfolgreichen Installation wird Microsoft.AzureKeyVaultService.EKM.dll auf dem Computer platziert. Diese Assembly ist die DLL des kryptografischen EKM-Anbieters. Registrieren Sie sie mit SQL Server mithilfe der CREATE CRYPTOGRAPHIC PROVIDER Anweisung.
Das Installationsprogramm bietet außerdem Beispielskripts für SQL Server Verschlüsselung.
Informationen zu Fehlercodeerklärungen, Konfigurationseinstellungen oder Wartungsaufgaben finden Sie unter:
Schritt 4: Hinzufügen eines Registrierungsschlüssels zur Unterstützung des EKM-Anbieters
Warning
Nur ein SQL Server-Administrator, der genau weiß, was er tut, sollte die Registrierung ändern. Falsche Änderungen können schwerwiegende Probleme verursachen. Sichern Sie die Registrierung, bevor Sie Änderungen vornehmen, damit Sie sie wiederherstellen können, wenn ein Problem auftritt.
Führen Sie regedit aus, um den Registrierungs-Editor zu öffnen.
Erstellen Sie einen
SQL Server Cryptographic ProviderRegistrierungsschlüssel unterHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Provider.Klicken Sie mit der rechten Maustaste auf den
SQL Server Cryptographic Provider-Registrierungsschlüssel und wählen Sie Berechtigungen aus.Gewähren Sie vollzugriff auf den
SQL Server Cryptographic ProviderSchlüssel für das Benutzerkonto, das den SQL Server Dienst ausführt.
Wählen Sie Übernehmen und anschließend OK aus.
Schließen Sie den Registrierungs-Editor und starten Sie den SQL Server-Dienst neu.
Note
Wenn Sie TDE mit EKM oder Azure Key Vault in einer Failoverclusterinstanz verwenden, fügen Sie
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Providerauch zur Cluster-Registrierungsprüfroutine hinzu, damit die Registrierung zwischen den Knoten synchronisiert wird, was die Datenbankwiederherstellung nach einem Failover und einer Schlüsselrotation erleichtert.Führen Sie den folgenden PowerShell-Befehl aus, um der Prüfpunktroutine den Registrierungsschlüssel hinzuzufügen:
Add-ClusterCheckpoint -RegistryCheckpoint "SOFTWARE\Microsoft\SQL Server Cryptographic Provider" -Resourcename "SQL Server"
Schritt 5: Konfigurieren von SQL Server
Einen Hinweis zu den minimal erforderlichen Berechtigungsstufen für jede Aktion in diesem Abschnitt finden Sie unter B. Häufig gestellte Fragen.
Phase 1: Konfigurieren von kryptografischen Anbietern und Anmeldeinformationen in master
Wählen Sie Ihr Authentifizierungsmodell aus, und führen Sie die entsprechenden Schritte aus.
Führen Sie sqlcmd aus oder öffnen Sie SQL Server Management Studio.
Konfigurieren Sie SQL Server für die EKM-Verwendung durch Ausführen des folgenden Transact-SQL-Skripts:
-- Enable advanced options. USE master; GO EXEC sp_configure 'show advanced options', 1; GO RECONFIGURE; GO -- Enable EKM provider EXEC sp_configure 'EKM provider enabled', 1; GO RECONFIGURE;Registrieren Sie den SQL Server-Connector bei SQL Server als EKM-Anbieter.
Erstellen Sie einen Kryptografieanbieter mithilfe des SQL Server-Connectors, der einen EKM-Anbieter für Azure Key Vault darstellt. In diesem Beispiel lautet der Name des Anbieters
AzureKeyVault_EKM.CREATE CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM FROM FILE = 'C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault\Microsoft.AzureKeyVaultService.EKM.dll'; GONote
Der Dateipfad darf höchstens 256 Zeichen umfassen.
Richten Sie SQL Server-Anmeldeinformationen für eine SQL Server-Anmeldung ein, um den Schlüsseltresor zu verwenden.
Fügen Sie jeder Anmeldung Anmeldeinformationen hinzu, die die Verschlüsselung mithilfe eines Schlüssels aus dem Schlüsseltresor durchführen. Es gibt eine Eins-zu-eins-Zuordnung zwischen Anmeldedaten und Anmeldungen – jede Anmeldung muss über eindeutige Anmeldedaten verfügen.
Ändern Sie dieses Transact-SQL-Skript in der folgenden Weise:
Bearbeiten Sie das
IDENTITY-Argument (DocsSampleEKMKeyVault), damit es auf Ihren Azure Key Vault verweist.- Wenn Sie eine globale Azure-Cloud verwenden, ersetzen Sie das
IDENTITY-Argument durch den Namen Ihres Azure Key Vault aus Schritt 2: Erstellen eines Schlüsseltresors. - Wenn Sie eine private Azure-Cloud verwenden (z. B. Azure Government, Microsoft Azure, betrieben von 21Vianet, oder Azure Deutschland), ersetzen Sie das
IDENTITY-Argument durch die Schlüsseltresor-URI, die unter Erstellen eines Schlüsseltresors und eines Schlüssels mithilfe von PowerShell zurückgegeben wird. Schließen Siehttps://nicht in der Key Vault-URI ein.
- Wenn Sie eine globale Azure-Cloud verwenden, ersetzen Sie das
Ersetzen Sie den ersten Teil des
SECRETArguments durch die Microsoft Entra Client-ID aus Schritt 1: Einrichten des Authentifizierungsmodells. In diesem Beispiel lautet die Client-IDd956f6b9xxxxxxx.Important
Entfernen Sie die Bindestriche aus der App-ID (Client).
Schließen Sie den zweiten Teil des
SECRETArguments mit dem geheimen Clientschlüssel aus Schritt 1 ab. Die letzte Zeichenfolge ist eine lange Abfolge von Buchstaben und Zahlen ohne Bindestriche (mit Ausnahme aller Bindestriche im geheimen Clientschlüssel).
USE master; CREATE CREDENTIAL sysadmin_ekm_cred -- Set IDENTITY to the vault name (public Azure) or full vault hostname without https:// (sovereign clouds / Managed HSM) -- See https://dotnet.territoriali.olinfo.it/azure/key-vault/general/about-keys-secrets-certificates#dns-suffixes-for-base-url WITH IDENTITY = 'DocsSampleEKMKeyVault', --<----Application (Client) ID ---><--Microsoft Entra app (Client) ID secret--> SECRET = 'd956f6b9xxxxxxxyrA8X~PldtMCvUZPxxxxxxxx' FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM; -- Add the credential to the SQL Server administrator's domain login ALTER LOGIN [<domain>\<login>] ADD CREDENTIAL sysadmin_ekm_cred;Ein Beispiel für die Verwendung von Variablen und das programmgesteuerte Entfernen von Bindestrichen aus der Client-ID finden Sie unter CREATE CREDENTIAL.
Öffnen Sie den Azure Key Vault-Schlüssel in Ihrer SQL Server Instanz.
Ob Sie einen neuen Schlüssel erstellt oder einen asymmetrischen Schlüssel in Schritt 2 importiert haben: Erstellen eines Schlüsseltresors, öffnen Sie den Schlüssel in SQL Server mithilfe von
CREATE ASYMMETRIC KEY.Important
Führen Sie die Registrierungsvoraussetzungen aus, bevor Sie diesen Schritt ausführen.
In den folgenden Beispielen:
- Ersetzen Sie den
EKMSampleASYKeyNamen, den Sie in SQL Server verwenden möchten. - Ersetzen Sie
ContosoRSAKey0durch Ihren Schlüsselnamen in Azure Key Vault oder Managed HSM.
Verwenden Sie einen versionslosen Schlüsselnamen (empfohlen für die meisten Szenarien):
CREATE ASYMMETRIC KEY EKMSampleASYKey FROM PROVIDER [AzureKeyVault_EKM] WITH PROVIDER_KEY_NAME = 'ContosoRSAKey0', CREATION_DISPOSITION = OPEN_EXISTING;Verwenden Sie eine bestimmte Schlüsselversion, wenn Sie Vorgänge an eine Version anheften müssen:
CREATE ASYMMETRIC KEY EKMSampleASYKey FROM PROVIDER [AzureKeyVault_EKM] WITH PROVIDER_KEY_NAME = 'ContosoRSAKey0/1a4d3b9b393c4678831ccc60def75379', CREATION_DISPOSITION = OPEN_EXISTING;In diesem Beispiel handelt es sich um die spezifische Schlüsselversion,
1a4d3b9b393c4678831ccc60def75379die SQL Server für Datenbankvorgänge verwendet.- Ersetzen Sie den
Erstellen Sie mit dem asymmetrischen Schlüssel in SQL Server, den Sie im vorherigen Schritt erstellt haben, eine neue Anmeldung.
-- Create a login that associates the asymmetric key with this login CREATE LOGIN TDE_Login FROM ASYMMETRIC KEY EKMSampleASYKey;Verschieben Sie die Zuordnung der Anmeldeinformationen von der ursprünglichen Administratoranmeldung zu der Anmeldung, die aus dem asymmetrischen Schlüssel erstellt wurde.
SQL Server verwendet für EKM-Vorgänge die Anmeldung, die aus dem asymmetrischen Schlüssel (
TDE_Login) erstellt wurde. Um sicherzustellen, dass SQL Server während der Verschlüsselungs- und Wiederherstellungsvorgänge auf Azure Key Vault zugreifen können, ordnen Sie die Anmeldeinformationen anstelle der ursprünglichen Setupanmeldung zuTDE_Login.-- Remove the service principal credential from the original setup login ALTER LOGIN [<domain>\<login>] DROP CREDENTIAL sysadmin_ekm_cred; -- Map the service principal credential to the login created from the asymmetric key ALTER LOGIN TDE_Login ADD CREDENTIAL sysadmin_ekm_cred;
Phase 2: Verschlüsseln und Überprüfen der Benutzerdatenbank
Konfigurieren der zu verschlüsselnden Benutzerdatenbank
Erstellen Sie eine Testdatenbank zum Verschlüsseln mithilfe des Azure Key Vault Schlüssels.
-- Create a test database for the TDE example. CREATE DATABASE TestTDE;Erstellen Sie einen Datenbankverschlüsselungsschlüssel mithilfe des asymmetrischen Serverschlüssels (
EKMSampleASYKey).USE TestTDE; -- Create a DEK protected by the EKM asymmetric key. CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER ASYMMETRIC KEY EKMSampleASYKey;Aktivieren Sie TDE für die Datenbank durch Festlegen von
ENCRYPTION ON.-- Enable TDE for the database. ALTER DATABASE TestTDE SET ENCRYPTION ON;
Überprüfen des Schlüsselverwendungs- und Verschlüsselungsstatus
Führen Sie in der
masterDatenbank die folgende Transact-SQL Abfrage aus, um zu überprüfen, ob der asymmetrische EKM-Schlüssel vorhanden ist, und erfassen Sie den Fingerabdruck.SELECT name, algorithm_desc, thumbprint FROM sys.asymmetric_keys;Die Anweisung gibt eine Ausgabe ähnlich der folgenden zurück:
name algorithm_desc thumbprint EKMSampleASYKey RSA_2048 <key thumbprint>Führen Sie in der Benutzerdatenbank (
TestTDE) die folgende Transact-SQL Abfrage aus, um zu überprüfen, ob TDE aktiviert ist und dass der Datenbankverschlüsselungsschlüssel durch einen asymmetrischen Schlüssel geschützt ist.SELECT encryptor_type, encryption_state_desc, encryptor_thumbprint FROM sys.dm_database_encryption_keys WHERE database_id = DB_ID('TestTDE');Die Anweisung gibt eine Ausgabe ähnlich der folgenden zurück:
encryptor_type encryption_state_desc encryptor_thumbprint ASYMMETRIC KEY ENCRYPTED <key thumbprint>Vergewissern Sie sich, dass
encryptor_thumbprintmit dem vonsys.asymmetric_keyszurückgegebenen Fingerabdruck übereinstimmt. Eine Nichtübereinstimmung weist in der Regel darauf hin, dass der Datenbankverschlüsselungsschlüssel mit einem anderen Schlüssel geschützt ist als erwartet.
Aufräumen
Verwenden Sie die Bereinigungsschritte, die dem von Ihnen konfigurierten Authentifizierungsmodell entsprechen.
Bereinigen Sie die testobjekte, die Sie in diesem Verfahren erstellt haben.
-- CLEAN UP: shared objects + service principal credential USE master; GO ALTER DATABASE [TestTDE] SET SINGLE_USER WITH ROLLBACK IMMEDIATE; DROP DATABASE [TestTDE]; GO DROP LOGIN [TDE_Login]; GO DROP ASYMMETRIC KEY [EKMSampleASYKey]; DROP CRYPTOGRAPHIC PROVIDER [AzureKeyVault_EKM]; GO DROP CREDENTIAL [sysadmin_ekm_cred]; GOÜberprüfen Sie, ob Sie den
SQL Server Cryptographic ProviderRegistrierungsschlüssel entfernen sollten.Important
Der
SQL Server Cryptographic ProviderRegistrierungsschlüssel wird nach dem Löschen von EKM-Schlüsseln nicht automatisch entfernt.Löschen Sie diesen Registrierungsschlüssel nur, wenn Sie EKM nicht mehr für die Instanz benötigen. Ein zu frühes Löschen kann die EKM-Funktionalität und Wiederherstellungsvorgänge beeinträchtigen.
Registrierungspfad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Provider
Asymmetrische Schlüssel für TDE mit Azure Key Vault rotieren
Verwenden Sie für die Schritte der Schlüsselrotation einen eigenständigen Betriebsleitfaden, einschließlich authentifizierungsspezifischer Skripte, Verifizierung und Sicherheitsprüfungen:
Important
Löschen Sie nach der Rotation keine vorherigen Versionen des Schlüssels. Frühere Versionen sind möglicherweise weiterhin erforderlich, um ältere Sicherungen, Protokolldateien und Wiederherstellungsartefakte wiederherzustellen.