適用於:
SQL Server 2019 (15.x)
Important
MICROSOFT SQL Server 2019 巨量數據叢集已淘汰。 SQL Server 2019 巨量數據叢集的支援已於 2025 年 2 月 28 日結束。 如需詳細資訊,請參閱 Microsoft SQL Server 平臺上的公告部落格文章和巨量數據選項。
本指南示範如何使用 SQL Server 巨量數據叢集的待用加密功能來加密資料庫。
在配置 Linux 上的 SQL Server 透明資料加密時,DBA 的配置體驗與其他平台的 SQL Server 相同,標準的 TDE 檔案會適用,除非另有說明。 若要監視主要伺服器上的加密狀態,請使用 sys.dm_database_encryption_keys 和 sys.certificates 的標準 DMV 查詢模式。
Unsupported features:
- 數據集區加密
Prerequisites
- SQL Server 2019 CU8+ 巨量數據叢集
- 巨量數據工具,特別是 Azure Data Studio
- 擁有系統管理許可權的 SQL Server 登入(在主實例中屬於 SQL Server 系統管理員角色的成員)
查詢已安裝的憑證
在 Azure Data Studio 中,連線到巨量數據叢集的 SQL Server 主要實例。 如需詳細資訊,請參閱 連線到 SQL Server 主要實例。
按兩下 [ 伺服器 ] 視窗中的連線,以顯示 SQL Server 主要實例的伺服器儀錶板。 選取 [新增查詢]。
執行下列 Transact-SQL 命令,將內容變更為
mastermaster 實例中的資料庫。USE master; GO查詢已安裝的系統管理憑證。
SELECT TOP 1 name FROM sys.certificates WHERE name LIKE 'TDECertificate%' ORDER BY name DESC;視需要使用不同的查詢準則。
憑證名稱會列為 「TDECertificate{timestamp}」。。 當您看到 TDECertificate 字首,並且後面接著時間戳時,這表示這是由系統管理功能所提供的憑證。
使用系統管理的憑證加密資料庫
在下列範例中,會根據上一節的輸出,將名為 userdb 的資料庫視為加密的目標,以及名為 TDECertificate2020_09_15_22_46_27的系統管理憑證。
使用下列模式,使用提供的系統憑證來產生資料庫加密密鑰。
USE userdb; GO CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE TDECertificate2020_09_15_22_46_27; GO使用下列命令加密資料庫 userdb 。
ALTER DATABASE userdb SET ENCRYPTION ON; GO
使用外部提供者時管理資料庫加密
如需了解 SQL Server 巨量資料叢集靜態加密中金鑰版本的使用方式之詳細資訊,請參閱 SQL Server 巨量資料叢集中的金鑰版本。 「SQL Server 的主要金鑰輪替」一節包含如何使用外部密鑰提供者來管理資料庫加密的端對端範例。
Next steps
了解 HDFS 的靜態加密: