Einrichten von Transparent Data Encryption mit Azure Key Vault für SQL Server

Gilt für:SQL Server

In diesem Artikel installieren und konfigurieren Sie den SQL Server Connector für Azure Key Vault und konfigurieren dann Transparent Data Encryption (TDE) mithilfe eines Schlüssels in Azure Key Vault.

Voraussetzungen

Bevor Sie mit der Verwendung von Azure Key Vault mit Ihrer SQL Server Instanz beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

Note

Ab SQL Server 2022 (16.x) CU 12 und höheren Versionen unterstützt SQL Server unter Linux TDE Extensible Key Management mit Azure Key Vault. Die Schritte 3 und 4 in dieser Anleitung sind für SQL Server für Linux nicht erforderlich.

Schneller Fluss

  1. Wählen Sie in Schritt 1 ein Authentifizierungsmodell aus: Einrichten des Authentifizierungsmodells.
  2. Erstellen Sie einen Schlüsseltresor und einen Schlüssel in Schritt 2: Erstellen eines Schlüsseltresors.
  3. Installieren Sie den Connector in Schritt 3: Installieren Sie den SQL Server Connector.
  4. Konfigurieren Sie die Registrierungsvoraussetzungen in Schritt 4: Hinzufügen eines Registrierungsschlüssels zur Unterstützung des EKM-Anbieters.
  5. Konfigurieren Sie SQL Server und überprüfen Sie die Verschlüsselung in Schritt 5: Konfigurieren von SQL Server.

Schritt 1: Einrichten des Authentifizierungsmodells

Important

Wählen Sie Ihr Authentifizierungsmodell aus, bevor Sie fortfahren:

  • Verwenden Sie die Registerkarte "Dienstprinzipal" für SQL Server lokal.
  • Verwenden Sie die Registerkarte "Verwaltete Identität" für SQL Server auf Azure VMs oder SQL Server, die von Azure Arc aktiviert wurden, wobei verwaltete Identität unterstützt wird.

Unterstützungsmatrix des Authentifizierungsmodells:

Authentifizierungsmodell SQL Server-Version Wo SQL Server ausgeführt wird Unterstützt
Service Principal Unterstützte Versionen, die in diesem Artikel behandelt werden Lokal, Azure VM, SQL Server mit Azure Arc aktiviert Ja
Verwaltete Identität SQL Server 2022 CU17 und höher Azure-VM Ja
Verwaltete Identität SQL Server 2025 und höher SQL Server durch Azure Arc aktiviert Ja
Verwaltete Identität Any On-premises No

Um Ihrer SQL Server-Instanz Zugriffsberechtigungen für Ihren Azure Key Vault zu erteilen, benötigen Sie ein Dienstprinzipalkonto in Microsoft Entra ID.

  1. Melden Sie sich beim Azure-Portal an, und führen Sie eine der folgenden Schritte aus:

    • Wählen Sie die Schaltfläche Microsoft Entra ID.

      Screenshot des Bereichs „Azure-Dienste“.

    • Wählen Sie Weitere Dienste aus und geben Sie dann im Bereich Alle DiensteMicrosoft Entra ID ein.

  2. Registrieren Sie eine Anwendung mit Microsoft Entra ID, indem Sie die folgenden Schritte ausführen. Detaillierte Schritt-für-Schritt-Anweisungen finden Sie im Abschnitt Erhalten Sie eine Identität für die Anwendung im Azure Key Vault-Blogbeitrag, Azure Key Vault – Schritt für Schritt.

    1. Wählen Sie im Abschnitt Verwalten Ihrer Microsoft Entra ID-Ressource die Option App-Registrierungen.

      Screenshot der Microsoft Entra ID-Übersichtsseite im Azure-Portal.

    2. Wählen Sie im Menüband auf der Seite App-Registrierungen die Option Neue Registrierung aus.

      Screenshot der Seite „App-Registrierungen“ im Azure-Portal.

    3. Geben Sie im Bereich Anwendung registrieren den Benutzernamen für die App ein, und wählen Sie dann Registrieren aus.

      Screenshot des Bereichs „Anwendung registrieren“.

    4. Wählen Sie im linken Bereich Zertifikate & Geheimnisse>Geheime Clientschlüssel>Neuer geheimer Clientschlüssel aus.

      Screenshot des Bereichs „Zertifikate und Geheimnisse“ für die App im Azure-Portal.

    5. Geben Sie unter Geheimen Clientschlüssel hinzufügen eine Beschreibung und eine entsprechende Ablaufzeit ein, und wählen Sie dann Hinzufügen aus. Sie können keinen Ablaufzeitraum von mehr als 24 Monaten auswählen. Weitere Informationen finden Sie unter Hinzufügen eines geheimen Clientschlüssels.

      Screenshot des Abschnitts „Clientgeheimnis für die App hinzufügen“ im Azure-Portal.

    6. Wählen Sie im Bereich "Zertifikate & Geheime Schlüssel" unter "Wert" die Schaltfläche "Kopieren" neben dem Wert des geheimen Clientschlüssels aus, um einen asymmetrischen Schlüssel in SQL Server zu erstellen.

      Screenshot des geheimen Werts im Azure-Portal.

    7. Wählen Sie im linken Bereich die Option "Übersicht" aus, und kopieren Sie dann im Feld "Anwendungs-ID" den Wert, um ihn zu verwenden, um einen asymmetrischen Schlüssel in SQL Server zu erstellen.

      Screenshot des Werts „Anwendungs-ID (Client)“ im Bereich „Übersicht“.

Schritt 2: Erstellen eines Schlüsseltresors

Wählen Sie die Methode aus, mit der Sie einen Schlüsseltresor erstellen möchten.

Note

Nur Azure Key Vault und Azure Key Vault Managed HSM werden unterstützt. Azure Cloud HSM wird nicht unterstützt.

Erstellen Sie einen Schlüsseltresor mit dem Azure-Portal

Informationen zum Erstellen eines Schlüsseltresors mithilfe des Azure-Portals finden Sie in der Schnellstartanleitung: Erstellen eines Schlüsseltresors mithilfe des Azure-Portals.

Rollenbasierte Zugriffssteuerung in Azure

Verwenden Sie Azure rollenbasierte Zugriffssteuerung (RBAC), um den Zugriff auf die Azure Key Vault zu verwalten. Verwenden Sie keine veralteten Zugriffsrichtlinien. Legacyzugriffsrichtlinien haben bekannte Sicherheitsrisiken, fehlen unterstützung für Privileged Identity Management (PIM) und sollten nicht für kritische Daten und Workloads verwendet werden. Weitere Informationen zu Azure Key Vault RBAC-Berechtigungen finden Sie unter In Azure integrierte Rollen für Key Vault-Vorgänge auf Datenebene.

  1. Wechseln Sie zu der von Ihnen erstellten Schlüsseltresorressource und wählen Sie die Zugriffssteuerungseinstellung (IAM) aus.

  2. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus.

    Screenshot der Schaltfläche „Rollenzuweisung hinzufügen“ im Bereich „Access Control (IAM)“ im Azure-Portal.

  3. Die EKM-Anwendung oder verwaltete Identität benötigt die Rolle Key Vault Crypto Service Encryption User, um Wrap- und Unwrapvorgänge durchzuführen. Suchen Sie nach Key Vault Crypto Service Encryption User und wählen Sie die Rolle aus. Wählen Sie Weiteraus.

    Screenshot der Auswahl einer Rollenzuweisung im Azure-Portal.

  4. Wählen Sie auf der Registerkarte "Mitglieder" die Option "Mitglieder auswählen" aus, und suchen Sie dann nach der Microsoft Entra Anwendung oder verwalteter Identität, die Sie in Schritt 1 erstellt haben. Wählen Sie die Anwendung oder verwaltete Identität und dann die Schaltfläche "Auswählen" aus .

    Screenshot des Bereichs „Mitglieder auswählen“ zum Hinzufügen einer Rollenzuweisung im Azure-Portal.

  5. Wählen Sie zweimal Überprüfen und zuweisen, um die Rollenzuweisung abzuschließen.

Einen Schlüssel erstellen

Der Benutzer, der den Schlüssel erstellt, benötigt die Schlüsseltresoradministratorrolle. Fügen Sie wie bei den vorherigen Schritten das Mitglied hinzu, das den Schlüssel erstellt, und weisen Sie die Rolle zu.

  1. Wählen Sie im Bereich Schlüsseltresor die Option Schlüssel und dann die Option Erstellen/Importieren. Diese Aktion öffnet den Bereich "Schlüssel erstellen". Wählen Sie Option Generieren aus und geben Sie einen Namen für den Schlüssel ein. Für den SQL Server-Connector ist es erforderlich, dass im Schlüsselnamen nur die Zeichen „a-z“, „A-Z“, „0-9“ und „-“ bei einem Zeichenlimit von 26 Zeichen verwendet werden.

  2. Verwenden Sie den Schlüsseltyp RSA und die RSA-Schlüsselgröße von 2048. EKM unterstützt derzeit nur einen RSA-Schlüssel. Legen Sie die Werte für Aktivierungs- und Ablaufdatum entsprechend fest, und legen Sie Aktiviert auf Ja fest.

    Screenshot des Bereichs „Schlüssel erstellen“.

Konfigurieren eines Azure Key Vault verwalteten HSM (optional)

Azure Key Vault Managed HSM (Hardware Security Module) unterstützt SQL Server, SQL Server auf virtuellen Azure-Computern (VMs) und Azure SQL, wenn Sie die neueste Version des SQL Server Connector verwenden. Der Managed HSM ist ein vollständig verwalteter HSM-Dienst mit hoher Verfügbarkeit und Single-Tenant-Architektur. Das verwaltete HSM bietet eine sichere Grundlage für kryptografische Operationen und Schlüsselspeicher. Das verwaltete HSM ist darauf ausgelegt, die strengsten Sicherheits- und Complianceanforderungen zu erfüllen.

In Schritt 2 wird gezeigt, wie Sie einen Schlüsseltresor und einen Schlüssel in Azure Key Vault erstellen. Optional können Sie ein Azure Key Vault managed HSM verwenden, um einen Schlüssel für den SQL Server Connector zu speichern oder zu erstellen. führen Sie die folgenden Schritte aus:

  1. Erstellen Sie mithilfe des Azure Portals, der Azure CLI, PowerShell oder einer ARM-Vorlage eine Azure Key Vault managed HSM.

  2. Aktivieren Sie das verwaltete HSM. Nur die vorgesehenen Administratoren, die während der Erstellung zugewiesen wurden, können sie aktivieren. Wählen Sie im Azure Portal die verwaltete HSM-Ressource aus, und wählen Sie dann im Menü "Übersicht" die Option "Sicherheitsdomäne herunterladen" aus. Folgen Sie einer der Schnellstarts, um Ihr verwaltetes HSM zu aktivieren.

  3. Erteilen Sie dem Microsoft Entra Serviceprinzipal oder der verwalteten Identität Berechtigungen für den Zugriff auf den Managed HSM. Die Rolle Administrator*in für verwaltete HSMs erteilt keine Berechtigungen zum Erstellen eines Schlüssels. Ähnlich wie in Schritt 2 benötigt die EKM-Anwendung oder verwaltete Identität die Rolle "Managed HSM Crypto User " oder "Managed HSM Crypto Service Encryption User ", um Wrap- und Unrap-Vorgänge auszuführen. Weitere Informationen finden Sie unter Eingebaute Rollen des lokalen RBAC für verwaltetes HSM.

  4. Wählen Sie im Menü des von Azure Key Vault verwalteten HSM-Diensts unter Einstellung die Option Schlüssel aus. Wählen Sie im Fenster Schlüssel die Option Generieren/Importieren/Sicherung wiederherstellen aus, um einen Schlüssel zu erstellen oder einen vorhandenen Schlüssel zu importieren.

    Note

    Algorithmen RSA-HSM_2048 und RSA-HSM_3072 werden ab SQL Server 2022 (16.x) kumulativem Update 13 unterstützt.

    Azure Key Vault Managed HSM unterstützt die automatische Schlüsseldrehung. Weitere Informationen finden Sie unter Konfigurieren der automatischen Schlüsselrotation in verwaltetem HSM in Azure.

    Verwaltetes HSM unterstützt Verbindungen mit privaten Endpunkten. Weitere Informationen finden Sie unter Integrieren des verwalteten HSM in Azure Private Link. In dieser Konfiguration müssen Sie in der Netzwerk-Einstellung von Azure Key Vault Managed HSM die Option Umgehung für vertrauenswürdige Microsoft-Dienste aktivieren.

Schritt 3: Installieren des SQL Server-Connectors

Lassen Sie einen SQL Server Administrator die neueste Version des SQL Server Connectors für Microsoft Azure Key Vault aus dem Microsoft Download Center herunterladen und das Installationsprogramm ausführen.

Screenshot des Installationsassistenten für den SQL Server-Connector.

Standardmäßig wird der Connector unter C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault installiert. Sie können diesen Speicherort während des Setups ändern. Wenn Sie dies ändern, passen Sie die Skripts im nächsten Abschnitt an.

Bei einer erfolgreichen Installation wird Microsoft.AzureKeyVaultService.EKM.dll auf dem Computer platziert. Diese Assembly ist die DLL des kryptografischen EKM-Anbieters. Registrieren Sie sie mit SQL Server mithilfe der CREATE CRYPTOGRAPHIC PROVIDER Anweisung.

Das Installationsprogramm bietet außerdem Beispielskripts für SQL Server Verschlüsselung.

Informationen zu Fehlercodeerklärungen, Konfigurationseinstellungen oder Wartungsaufgaben finden Sie unter:

Schritt 4: Hinzufügen eines Registrierungsschlüssels zur Unterstützung des EKM-Anbieters

Warning

Nur ein SQL Server-Administrator, der genau weiß, was er tut, sollte die Registrierung ändern. Falsche Änderungen können schwerwiegende Probleme verursachen. Sichern Sie die Registrierung, bevor Sie Änderungen vornehmen, damit Sie sie wiederherstellen können, wenn ein Problem auftritt.

  1. Führen Sie regedit aus, um den Registrierungs-Editor zu öffnen.

  2. Erstellen Sie einen SQL Server Cryptographic Provider Registrierungsschlüssel unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Provider.

  3. Klicken Sie mit der rechten Maustaste auf den SQL Server Cryptographic Provider-Registrierungsschlüssel und wählen Sie Berechtigungen aus.

  4. Gewähren Sie vollzugriff auf den SQL Server Cryptographic Provider Schlüssel für das Benutzerkonto, das den SQL Server Dienst ausführt.

    Screenshot des EKM-Registrierungsschlüssels im Registrierungs-Editor.

  5. Wählen Sie Übernehmen und anschließend OK aus.

  6. Schließen Sie den Registrierungs-Editor und starten Sie den SQL Server-Dienst neu.

    Note

    Wenn Sie TDE mit EKM oder Azure Key Vault in einer Failoverclusterinstanz verwenden, fügen Sie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Provider auch zur Cluster-Registrierungsprüfroutine hinzu, damit die Registrierung zwischen den Knoten synchronisiert wird, was die Datenbankwiederherstellung nach einem Failover und einer Schlüsselrotation erleichtert.

    Führen Sie den folgenden PowerShell-Befehl aus, um der Prüfpunktroutine den Registrierungsschlüssel hinzuzufügen:

    Add-ClusterCheckpoint -RegistryCheckpoint "SOFTWARE\Microsoft\SQL Server Cryptographic Provider" -Resourcename "SQL Server"
    

Schritt 5: Konfigurieren von SQL Server

Einen Hinweis zu den minimal erforderlichen Berechtigungsstufen für jede Aktion in diesem Abschnitt finden Sie unter B. Häufig gestellte Fragen.

Phase 1: Konfigurieren von kryptografischen Anbietern und Anmeldeinformationen in master

Wählen Sie Ihr Authentifizierungsmodell aus, und führen Sie die entsprechenden Schritte aus.

  1. Führen Sie sqlcmd aus oder öffnen Sie SQL Server Management Studio.

  2. Konfigurieren Sie SQL Server für die EKM-Verwendung durch Ausführen des folgenden Transact-SQL-Skripts:

    -- Enable advanced options.
    USE master;
    GO
    
    EXEC sp_configure 'show advanced options', 1;
    GO
    RECONFIGURE;
    GO
    
    -- Enable EKM provider
    EXEC sp_configure 'EKM provider enabled', 1;
    GO
    RECONFIGURE;
    
  3. Registrieren Sie den SQL Server-Connector bei SQL Server als EKM-Anbieter.

    Erstellen Sie einen Kryptografieanbieter mithilfe des SQL Server-Connectors, der einen EKM-Anbieter für Azure Key Vault darstellt. In diesem Beispiel lautet der Name des Anbieters AzureKeyVault_EKM.

    CREATE CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM
    FROM FILE = 'C:\Program Files\SQL Server Connector for Microsoft Azure Key Vault\Microsoft.AzureKeyVaultService.EKM.dll';
    GO
    

    Note

    Der Dateipfad darf höchstens 256 Zeichen umfassen.

  4. Richten Sie SQL Server-Anmeldeinformationen für eine SQL Server-Anmeldung ein, um den Schlüsseltresor zu verwenden.

    Fügen Sie jeder Anmeldung Anmeldeinformationen hinzu, die die Verschlüsselung mithilfe eines Schlüssels aus dem Schlüsseltresor durchführen. Es gibt eine Eins-zu-eins-Zuordnung zwischen Anmeldedaten und Anmeldungen – jede Anmeldung muss über eindeutige Anmeldedaten verfügen.

    Ändern Sie dieses Transact-SQL-Skript in der folgenden Weise:

    • Bearbeiten Sie das IDENTITY -Argument (DocsSampleEKMKeyVault), damit es auf Ihren Azure Key Vault verweist.

    • Ersetzen Sie den ersten Teil des SECRET Arguments durch die Microsoft Entra Client-ID aus Schritt 1: Einrichten des Authentifizierungsmodells. In diesem Beispiel lautet die Client-IDd956f6b9xxxxxxx.

      Important

      Entfernen Sie die Bindestriche aus der App-ID (Client).

    • Schließen Sie den zweiten Teil des SECRET Arguments mit dem geheimen Clientschlüssel aus Schritt 1 ab. Die letzte Zeichenfolge ist eine lange Abfolge von Buchstaben und Zahlen ohne Bindestriche (mit Ausnahme aller Bindestriche im geheimen Clientschlüssel).

    USE master;
    CREATE CREDENTIAL sysadmin_ekm_cred
       -- Set IDENTITY to the vault name (public Azure) or full vault hostname without https:// (sovereign clouds / Managed HSM)
       -- See https://dotnet.territoriali.olinfo.it/azure/key-vault/general/about-keys-secrets-certificates#dns-suffixes-for-base-url
       WITH IDENTITY = 'DocsSampleEKMKeyVault',
             --<----Application (Client) ID ---><--Microsoft Entra app (Client) ID secret-->
       SECRET = 'd956f6b9xxxxxxxyrA8X~PldtMCvUZPxxxxxxxx'
    FOR CRYPTOGRAPHIC PROVIDER AzureKeyVault_EKM;
    
    -- Add the credential to the SQL Server administrator's domain login
    ALTER LOGIN [<domain>\<login>]
        ADD CREDENTIAL sysadmin_ekm_cred;
    

    Ein Beispiel für die Verwendung von Variablen und das programmgesteuerte Entfernen von Bindestrichen aus der Client-ID finden Sie unter CREATE CREDENTIAL.

  5. Öffnen Sie den Azure Key Vault-Schlüssel in Ihrer SQL Server Instanz.

    Ob Sie einen neuen Schlüssel erstellt oder einen asymmetrischen Schlüssel in Schritt 2 importiert haben: Erstellen eines Schlüsseltresors, öffnen Sie den Schlüssel in SQL Server mithilfe von CREATE ASYMMETRIC KEY.

    Important

    Führen Sie die Registrierungsvoraussetzungen aus, bevor Sie diesen Schritt ausführen.

    In den folgenden Beispielen:

    • Ersetzen Sie den EKMSampleASYKey Namen, den Sie in SQL Server verwenden möchten.
    • Ersetzen Sie ContosoRSAKey0 durch Ihren Schlüsselnamen in Azure Key Vault oder Managed HSM.

    Verwenden Sie einen versionslosen Schlüsselnamen (empfohlen für die meisten Szenarien):

    CREATE ASYMMETRIC KEY EKMSampleASYKey
       FROM PROVIDER [AzureKeyVault_EKM]
       WITH PROVIDER_KEY_NAME = 'ContosoRSAKey0',
          CREATION_DISPOSITION = OPEN_EXISTING;
    

    Verwenden Sie eine bestimmte Schlüsselversion, wenn Sie Vorgänge an eine Version anheften müssen:

    CREATE ASYMMETRIC KEY EKMSampleASYKey
       FROM PROVIDER [AzureKeyVault_EKM]
       WITH PROVIDER_KEY_NAME = 'ContosoRSAKey0/1a4d3b9b393c4678831ccc60def75379',
          CREATION_DISPOSITION = OPEN_EXISTING;
    

    In diesem Beispiel handelt es sich um die spezifische Schlüsselversion, 1a4d3b9b393c4678831ccc60def75379 die SQL Server für Datenbankvorgänge verwendet.

  6. Erstellen Sie mit dem asymmetrischen Schlüssel in SQL Server, den Sie im vorherigen Schritt erstellt haben, eine neue Anmeldung.

    -- Create a login that associates the asymmetric key with this login
    CREATE LOGIN TDE_Login
        FROM ASYMMETRIC KEY EKMSampleASYKey;
    
  7. Verschieben Sie die Zuordnung der Anmeldeinformationen von der ursprünglichen Administratoranmeldung zu der Anmeldung, die aus dem asymmetrischen Schlüssel erstellt wurde.

    SQL Server verwendet für EKM-Vorgänge die Anmeldung, die aus dem asymmetrischen Schlüssel (TDE_Login) erstellt wurde. Um sicherzustellen, dass SQL Server während der Verschlüsselungs- und Wiederherstellungsvorgänge auf Azure Key Vault zugreifen können, ordnen Sie die Anmeldeinformationen anstelle der ursprünglichen Setupanmeldung zuTDE_Login.

    -- Remove the service principal credential from the original setup login
    ALTER LOGIN [<domain>\<login>]
       DROP CREDENTIAL sysadmin_ekm_cred;
    
    -- Map the service principal credential to the login created from the asymmetric key
    ALTER LOGIN TDE_Login
       ADD CREDENTIAL sysadmin_ekm_cred;
    

Phase 2: Verschlüsseln und Überprüfen der Benutzerdatenbank

Konfigurieren der zu verschlüsselnden Benutzerdatenbank

  1. Erstellen Sie eine Testdatenbank zum Verschlüsseln mithilfe des Azure Key Vault Schlüssels.

    -- Create a test database for the TDE example.
    CREATE DATABASE TestTDE;
    
  2. Erstellen Sie einen Datenbankverschlüsselungsschlüssel mithilfe des asymmetrischen Serverschlüssels (EKMSampleASYKey).

    USE TestTDE;
    -- Create a DEK protected by the EKM asymmetric key.
    CREATE DATABASE ENCRYPTION KEY
    WITH ALGORITHM = AES_256
    ENCRYPTION BY SERVER ASYMMETRIC KEY EKMSampleASYKey;
    
  3. Aktivieren Sie TDE für die Datenbank durch Festlegen von ENCRYPTION ON.

    -- Enable TDE for the database.
    ALTER DATABASE TestTDE
        SET ENCRYPTION ON;
    

Überprüfen des Schlüsselverwendungs- und Verschlüsselungsstatus

  1. Führen Sie in der master Datenbank die folgende Transact-SQL Abfrage aus, um zu überprüfen, ob der asymmetrische EKM-Schlüssel vorhanden ist, und erfassen Sie den Fingerabdruck.

    SELECT name,
           algorithm_desc,
           thumbprint
    FROM sys.asymmetric_keys;
    

    Die Anweisung gibt eine Ausgabe ähnlich der folgenden zurück:

    name            algorithm_desc    thumbprint
    EKMSampleASYKey RSA_2048          <key thumbprint>
    
  2. Führen Sie in der Benutzerdatenbank (TestTDE) die folgende Transact-SQL Abfrage aus, um zu überprüfen, ob TDE aktiviert ist und dass der Datenbankverschlüsselungsschlüssel durch einen asymmetrischen Schlüssel geschützt ist.

    SELECT encryptor_type,
           encryption_state_desc,
           encryptor_thumbprint
    FROM sys.dm_database_encryption_keys
    WHERE database_id = DB_ID('TestTDE');
    

    Die Anweisung gibt eine Ausgabe ähnlich der folgenden zurück:

    encryptor_type encryption_state_desc encryptor_thumbprint
    ASYMMETRIC KEY ENCRYPTED             <key thumbprint>
    

    Vergewissern Sie sich, dass encryptor_thumbprint mit dem von sys.asymmetric_keys zurückgegebenen Fingerabdruck übereinstimmt. Eine Nichtübereinstimmung weist in der Regel darauf hin, dass der Datenbankverschlüsselungsschlüssel mit einem anderen Schlüssel geschützt ist als erwartet.

Aufräumen

Verwenden Sie die Bereinigungsschritte, die dem von Ihnen konfigurierten Authentifizierungsmodell entsprechen.

  1. Bereinigen Sie die testobjekte, die Sie in diesem Verfahren erstellt haben.

    -- CLEAN UP: shared objects + service principal credential
    USE master;
    GO
    ALTER DATABASE [TestTDE] SET SINGLE_USER WITH ROLLBACK IMMEDIATE;
    DROP DATABASE [TestTDE];
    GO
    
    DROP LOGIN [TDE_Login];
    GO
    
    DROP ASYMMETRIC KEY [EKMSampleASYKey];
    DROP CRYPTOGRAPHIC PROVIDER [AzureKeyVault_EKM];
    GO
    
    DROP CREDENTIAL [sysadmin_ekm_cred];
    GO
    
  2. Überprüfen Sie, ob Sie den SQL Server Cryptographic Provider Registrierungsschlüssel entfernen sollten.

    Important

    Der SQL Server Cryptographic Provider Registrierungsschlüssel wird nach dem Löschen von EKM-Schlüsseln nicht automatisch entfernt.

    Löschen Sie diesen Registrierungsschlüssel nur, wenn Sie EKM nicht mehr für die Instanz benötigen. Ein zu frühes Löschen kann die EKM-Funktionalität und Wiederherstellungsvorgänge beeinträchtigen.

    Registrierungspfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SQL Server Cryptographic Provider

Asymmetrische Schlüssel für TDE mit Azure Key Vault rotieren

Verwenden Sie für die Schritte der Schlüsselrotation einen eigenständigen Betriebsleitfaden, einschließlich authentifizierungsspezifischer Skripte, Verifizierung und Sicherheitsprüfungen:

Important

Löschen Sie nach der Rotation keine vorherigen Versionen des Schlüssels. Frühere Versionen sind möglicherweise weiterhin erforderlich, um ältere Sicherungen, Protokolldateien und Wiederherstellungsartefakte wiederherzustellen.