问始终手动加密列加密密钥

EN

我的问题是，是否有一种方法可以使用有效的RSA密钥手动解密列加密密钥？

是的，您可以使用Always Encrypted with secure enclaves手动解密列加密密钥和主密钥，但这些特性只允许在DC-series hardware配置中以及仅在少数位置可用的Microsoft Azure Attestation中使用。因此，您需要选择一个同时支持DC系列硬件和Microsoft认证的位置(一个Azure区域)。

注：直流系列可在下列地区提供:加拿大中部、加拿大东部、东欧、北欧、英国、南欧、西欧、美国西部。在部署SQL数据库时，请按照以下步骤选择DC系列。

1. Make确实部署到Server中，部署在DC系列支持的位置中。单击“配置数据库”。

1. 选择硬件配置

1. 选择DC-系列，单击OK，应用并部署数据库。

1. 现在使用Azure创建认证提供者。在搜索栏中搜索认证并选择Microsoft Azure Attestation.

​

​

1. 在认证提供程序的Overview选项卡上，将Attest URI属性的值复制到剪贴板，并将其保存在文件中。这是认证URL，您需要在后面的步骤。

1. 在窗口左侧的资源菜单上或在下窗格中选择策略。

将认证类型设置为SGX-IntelSDK.的

1. 在上菜单上选择配置。

​

​

1. 将策略格式设置为文本。将策略选项设置为在策略文本字段中输入策略.
2. ，将默认策略替换为下面的策略.

[ type=="x-ms-sgx-is-debuggable", value==false ] && [ type=="x-ms-sgx-product-id", value==4639 ] && [ type=="x-ms-sgx-svn", value>= 0 ] && [ type=="x-ms-sgx-mrsigner", value=="e31c9e505f37a58de09335075fc8591254313eb20bb1a27e5443cc450b6e33e5"] => permit(); }; ```

​

​

1. 在SSMS中配置数据库。单击Options并提供您在步骤5.

中复制的认证URL

在对象资源管理器中，使用上一步中的SSMS实例展开数据库并导航到Keys.安全性>始终加密的

1. 提供了一个新的启用enclave的列主键：

1. Right-click总是加密密钥并选择新列主Key....

1. 选择列主密钥名: key 1.确保选择Windows (当前用户或本地机器)或Azure密钥库.

computations.允许

1. 选择

​

​

1. 现在只是对列进行加密。请参阅下面的加密示例.

ALTER TABLE [HR].[Employees]
ALTER COLUMN [SSN] [char] (11) COLLATE Latin1_General_BIN2
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER TABLE [HR].[Employees]
ALTER COLUMN [Salary] [money]
ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = [CEK1], ENCRYPTION_TYPE = Randomized, ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256') NOT NULL
WITH
(ONLINE = ON);

ALTER DATABASE SCOPED CONFIGURATION CLEAR PROCEDURE_CACHE;

验证加密的数据。

​

​

使用客户加密密钥解密

1. ，请参阅下面的示例.

ALTER HR.Employees ALTER列SSN(11)用(ONLINE =ON)整理Latin1_General_BIN2；GO