Condividi tramite


Set-SqlColumnEncryption

Crittografa, decrittografa o crittografa nuovamente le colonne specificate nel database.

Sintassi

Set-SqlColumnEncryption
   -ColumnEncryptionSettings <SqlColumnEncryptionSettings[]>
   [-UseOnlineApproach]
   [-KeepCheckForeignKeyConstraints]
   [-MaxDowntimeInSeconds <Int32>]
   [-KeyVaultAccessToken <String>]
   [-ManagedHsmAccessToken <String>]
   [-LockTimeoutInSeconds <Int32>]
   [-MaxIterationDurationInDays <Int32>]
   [-MaxDivergingIterations <Int32>]
   [-MaxIterations <Int32>]
   [-EnclaveAttestationProtocol <SqlConnectionAttestationProtocol>]
   [-EnclaveAttestationURL <String>]
   [-LogFileDirectory <String>]
   [-AllowVerboseLogging]
   [-InputObject] <Database>
   [-Script]
   [-AccessToken <PSObject>]
   [-TrustServerCertificate]
   [-HostNameInCertificate <String>]
   [-Encrypt <String>]
   [-ProgressAction <ActionPreference>]
   [<CommonParameters>]
Set-SqlColumnEncryption
   -ColumnEncryptionSettings <SqlColumnEncryptionSettings[]>
   [-UseOnlineApproach]
   [-KeepCheckForeignKeyConstraints]
   [-MaxDowntimeInSeconds <Int32>]
   [-KeyVaultAccessToken <String>]
   [-ManagedHsmAccessToken <String>]
   [-LockTimeoutInSeconds <Int32>]
   [-MaxIterationDurationInDays <Int32>]
   [-MaxDivergingIterations <Int32>]
   [-MaxIterations <Int32>]
   [-EnclaveAttestationProtocol <SqlConnectionAttestationProtocol>]
   [-EnclaveAttestationURL <String>]
   [-LogFileDirectory <String>]
   [-AllowVerboseLogging]
   [[-Path] <String>]
   [-Script]
   [-AccessToken <PSObject>]
   [-TrustServerCertificate]
   [-HostNameInCertificate <String>]
   [-Encrypt <String>]
   [-ProgressAction <ActionPreference>]
   [<CommonParameters>]

Descrizione

Il cmdlet Set-SqlColumnEncryption crittografa, decrittografa o crittografa nuovamente le colonne di database specificate usando la funzionalità Always Encrypted.

Il cmdlet accetta una matrice di SqlColumnEncryptionSettings oggetti, ognuno dei quali specifica la configurazione della crittografia di destinazione per una colonna nel database.

Il cmdlet crittograferà, decrittograferà o crittograferà nuovamente ogni colonna specificata, a seconda della configurazione di crittografia corrente della colonna e delle impostazioni di crittografia di destinazione specificate.

Il cmdlet comunica con gli archivi chiavi che contengono chiavi master delle colonne. Se una chiave master della colonna che protegge le colonne da crittografare, decrittografare o crittografare nuovamente, viene archiviata in Azure, è necessario specificare un token di autenticazione valido per un insieme di credenziali delle chiavi o un modulo di protezione hardware gestito che contiene la chiave. In alternativa, è possibile eseguire l'autenticazione in Azure con Add-SqlAzureAuthenticationContext prima di chiamare questo cmdlet.

Module requirements: version 21+ on PowerShell 5.1; version 22+ on PowerShell 7.x.

Esempio

Esempio 1: applicare le impostazioni di crittografia di destinazione specificate a tre colonne di database.

In questo esempio la colonna dbo.Student.Id viene crittografata usando la crittografia deterministica e la chiave di crittografia della colonna denominata MyCEK.

La colonna dbo.Student.LastName viene crittografata usando la crittografia casuale e la chiave di crittografia della colonna denominata MyCEK.

La colonna dbo.StudentFirstName non è crittografata (se la colonna è inizialmente crittografata, viene decrittografata).

L'esempio usa l'approccio offline, il che significa che la tabella Student rimarrà non disponibile per gli aggiornamenti durante l'operazione. Si supponga che la chiave master della colonna, che protegge MyCEK, non sia archiviata in Azure Key Vault.

$ces1 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.Id'        -EncryptionType 'Deterministic' -EncryptionKey 'MyCek'
$ces2 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.LastName'  -EncryptionType 'Randomized'    -EncryptionKey 'MyCek'
$ces3 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.FirstName' -EncryptionType 'Plaintext'
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces1,$ces2,$ces3 -LogFileDirectory .

Esempio 2: applicare le impostazioni di crittografia di destinazione specificate alle tre colonne di database (la chiave master della colonna viene archiviata in Azure Key Vault).

Questo esempio è simile a quello precedente; solo la differenza è che la chiave master della colonna che protegge MyCEK viene archiviata in Azure Key Vault.

# Connect to Azure account.
Import-Module Az.Accounts -MinimumVersion 2.2.0
Connect-AzAccount

# Obtain an access token for key vaults.
$keyVaultAccessToken = (Get-AzAccessToken -ResourceUrl https://vault.azure.net).Token

$ces1 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.Id'        -EncryptionType 'Deterministic' -EncryptionKey 'MyCek'
$ces2 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.LastName'  -EncryptionType 'Randomized'    -EncryptionKey 'MyCek' 
$ces3 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.FirstName' -EncryptionType 'Plaintext'

# Pass the token to the cmdlet. It will use the token to communicate with Azure Key Vault to obtain the plaintext value of the column encryption key.
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces1,$ces2,$ces3 -LogFileDirectory . -KeyVaultAccessToken $keyVaultAccessToken

Esempio 3: applicare le impostazioni di crittografia di destinazione specificate a tre colonne di database usando l'approccio online.

In questo esempio Student tabella non sarà disponibile per le letture e le scritture per un massimo di 30 secondi (il valore specificato usando il parametro MaxDowntimeInSeconds). Si supponga che la chiave master della colonna, proteggendo MyCEK, venga archiviata all'esterno di Azure (il passaggio di un token di Azure non è obbligatorio).

$ces1 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.Id'        -EncryptionType 'Deterministic' -EncryptionKey 'MyCek'
$ces2 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.LastName'  -EncryptionType 'Randomized'    -EncryptionKey 'MyCek'
$ces3 = New-SqlColumnEncryptionSettings -ColumnName 'dbo.Student.FirstName' -EncryptionType 'Plaintext'
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces1,$ces2,$ces3 -UseOnlineApproach -MaxDowntimeInSeconds 30 -LogFileDirectory .

Esempio 4: applicare le impostazioni di crittografia di destinazione a più colonne usando la crittografia sul posto.

$ces1 = New-SqlColumnEncryptionSettings -ColumnName dbo.Student.Id        -EncryptionType 'Randomized' -EncryptionKey 'CEK1' 
$ces2 = New-SqlColumnEncryptionSettings -ColumnName dbo.Student.LastName  -EncryptionType 'Randomized' -EncryptionKey 'CEK1' 
$ces3 = New-SqlColumnEncryptionSettings -ColumnName dbo.Student.FirstName -EncryptionType 'Randomized' -EncryptionKey 'CEK1'
Set-SqlColumnEncryption -ColumnEncryptionSettings $ces1,$ces2,$ces3 -LogFileDirectory . -EnclaveAttestationProtocol 'AAS' -EnclaveAttestationURL 'https://enclavedemoattest.weu.attest.azure.net'

In questo esempio vengono applicate le impostazioni di crittografia di destinazione alle colonne del database che usano la crittografia sul posto, purché vengano soddisfatti tutti i prerequisiti per la crittografia sul posto, ovvero il database ha un enclave abilitato e le chiavi usate nelle operazioni di crittografia, che i trigger del cmdlet, sono abilitati per l'enclave.

Parametri

-AccessToken

Token di accesso usato per eseguire l'autenticazione a SQL Server, come alternativa all'autenticazione utente/password o windows.

Può essere usato, ad esempio, per connettersi a SQL Azure DB e SQL Azure Managed Instance usando un Service Principal o un Managed Identity.

Il parametro da usare può essere una stringa che rappresenta il token o un oggetto PSAccessToken restituito eseguendo Get-AzAccessToken -ResourceUrl https://database.windows.net.

Questo parametro è nuovo nella versione 22 del modulo.

Tipo:PSObject
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-AllowVerboseLogging

Se impostato, il cmdlet aggiungerà messaggi dettagliati al file di log (se il parametro 'LogFileDirectory' è impostato) e manterrà i file dacpac usati dalle librerie sottostanti per eseguire l'operazione.

Tipo:SwitchParameter
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-ColumnEncryptionSettings

Specifica una matrice di SqlColumnEncryptionSettings oggetti, ognuno dei quali specifica la configurazione della crittografia di destinazione per una colonna nel database.

Tipo:SqlColumnEncryptionSettings[]
Posizione:Named
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-EnclaveAttestationProtocol

Specifica il protocollo di attestazione di un enclave per Always Encrypted con enclave sicuri. Questo parametro è necessario affinché il cmdlet esegua operazioni di crittografia sul posto, all'interno di un enclave sicuro lato server, per annullare la spesa per il download e il caricamento dei dati. Si noti che la crittografia sul posto include altri prerequisiti: il database deve avere un enclave configurato ed è necessario usare chiavi di crittografia abilitate per l'enclave.

Tipo:SqlConnectionAttestationProtocol
Alias:AttestationProtocol
Valori accettati:NotSpecified, AAS, None, HGS
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-EnclaveAttestationURL

Specifica un URL di attestazione dell'enclave per la crittografia sul posto quando si usa Always Encrypted con enclave sicuri. Obbligatorio se EnclaveAttestationProtocol è impostato su AAS o HGS.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-Encrypt

Tipo di crittografia da usare per la connessione a SQL Server.

Questo valore esegue il mapping alla proprietà EncryptSqlConnectionEncryptOption sull'oggetto SqlConnection del driver Microsoft.Data.SqlClient.

Nella versione 22 del modulo, il valore predefinito è Optional (per compatibilità con v21). Nella versione 23+ del modulo, il valore predefinito sarà "Obbligatorio", che potrebbe creare una modifica di rilievo per gli script esistenti.

Questo parametro è nuovo nella versione 22 del modulo.

Tipo:String
Valori accettati:Mandatory, Optional, Strict
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-HostNameInCertificate

Nome host da usare per convalidare il certificato TLS/SSL di SQL Server. È necessario passare questo parametro se l'istanza di SQL Server è abilitata per Forza crittografia e si vuole connettersi a un'istanza usando nome host/nome breve. Se questo parametro viene omesso, è necessario passare il nome di dominio completo (FQDN) a -ServerInstance per connettersi a un'istanza di SQL Server abilitata per Forza crittografia.

Questo parametro è nuovo nella versione 22 del modulo.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-InputObject

Specifica l'oggetto di database SQL per il quale questo cmdlet esegue l'operazione.

Tipo:Database
Posizione:1
Valore predefinito:None
Necessario:True
Accettare l'input della pipeline:True
Accettare caratteri jolly:False

-KeepCheckForeignKeyConstraints

Se impostata, la semantica di controllo (CHECK o NOCHECK) dei vincoli di chiave esterna viene mantenuta.

In caso contrario, se non è impostato e se UseOnlineApproach non è impostato, i vincoli di chiave esterna vengono sempre ricreati con l'opzione NOCHECK per ridurre al minimo l'impatto sulle applicazioni.

KeepCheckForeignKeyConstraints è valido solo quando è impostato UseOnlineApproach.

Con l'approccio offline, la semantica dei vincoli di chiave esterna viene sempre mantenuta.

Tipo:SwitchParameter
Posizione:Named
Valore predefinito:False
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-KeyVaultAccessToken

Specifica un token di accesso per gli insiemi di credenziali delle chiavi in Azure Key Vault. Usare questo parametro se una delle chiavi master della colonna che protegge le colonne da crittografare, decrittografare o crittografare nuovamente, viene archiviata negli insiemi di credenziali delle chiavi in Azure Key Vault.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-LockTimeoutInSeconds

Specifica il tempo massimo ( in secondi) di attesa del cmdlet per i blocchi del database necessari per avviare l'ultima iterazione di recupero. Un valore di -1 (impostazione predefinita) indica un periodo di timeout (ovvero attendere per sempre). Il valore 0 indica di non attendere affatto. Quando un'attesa per un blocco supera il valore di timeout, viene restituito un errore. Valido solo se è impostata la UseOnlineApproach.

Tipo:Int32
Posizione:Named
Valore predefinito:-1
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-LogFileDirectory

Se impostato, il cmdlet creerà un file di log nella directory specificata.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-ManagedHsmAccessToken

Specifica un token di accesso per i moduli di protezione hardware gestiti in Azure Key Vault. Usare questo parametro se una delle chiavi master della colonna che proteggono le colonne da crittografare, decrittografare o crittografare nuovamente, viene archiviata in moduli di protezione hardware gestiti in Azure Key Vault.

Tipo:String
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-MaxDivergingIterations

Specifica il numero massimo di iterazioni di recupero consecutive, in cui aumenta il numero di righe elaborate. Quando viene raggiunto questo limite, il cmdlet presuppone che non sarà in grado di recuperare le modifiche apportate nella tabella di origine e interrompe l'operazione e ricrea lo stato originale del database. Valido solo se è impostata la UseOnlineApproach. Deve essere minore del valore di MaxIterations.

Tipo:Int32
Posizione:Named
Valore predefinito:5
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-MaxDowntimeInSeconds

Specifica il tempo massimo , espresso in secondi, durante il quale la tabella di origine non sarà disponibile per le letture e le scritture. Valido solo se è impostata la UseOnlineApproach.

Tipo:Int32
Posizione:Named
Valore predefinito:1800
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-MaxIterationDurationInDays

Specifica il tempo massimo ,in giorni, del seeding o di una singola iterazione di recupero. Se il seeding o un'iterazione di recupero richiede più del valore specificato, il cmdlet interrompe l'operazione e ricrea lo stato originale del database. Valido solo se è impostata la UseOnlineApproach.

Tipo:Int32
Posizione:Named
Valore predefinito:3
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-MaxIterations

Specifica il numero massimo di iterazioni nella fase di recupero. Quando viene raggiunto questo limite, il cmdlet interrompe l'operazione e ricrea lo stato originale del database. Valido solo se è impostata la UseOnlineApproach.

Tipo:Int32
Posizione:Named
Valore predefinito:100
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-Path

Specifica il percorso del database SQL per il quale questo cmdlet esegue l'operazione. Se non si specifica un valore per questo parametro, il cmdlet usa la posizione di lavoro corrente.

Tipo:String
Posizione:1
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-ProgressAction

Determina in che modo PowerShell risponde agli aggiornamenti dello stato generati da uno script, un cmdlet o un provider, ad esempio le barre di stato generate dal cmdlet Write-Progress. Il cmdlet Write-Progress crea barre di stato che mostrano lo stato di un comando.

Tipo:ActionPreference
Alias:proga
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-Script

Indica che questo cmdlet restituisce un Transact-SQL script che esegue l'attività eseguita da questo cmdlet.

Tipo:SwitchParameter
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-TrustServerCertificate

Indica se il canale verrà crittografato durante il bypass della catena di certificati per convalidare l'attendibilità.

Nella versione 22 del modulo, il valore predefinito è $true (per compatibilità con v21). Nella versione 23+ del modulo, il valore predefinito sarà "$false", che potrebbe creare una modifica di rilievo per gli script esistenti.

Questo parametro è nuovo nella versione 22 del modulo.

Tipo:SwitchParameter
Posizione:Named
Valore predefinito:None
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

-UseOnlineApproach

Se impostato, il cmdlet userà l'approccio online per assicurarsi che il database sia disponibile per altre applicazioni sia per le letture che per le scritture per la maggior parte della durata dell'operazione.

In caso contrario, il cmdlet bloccherà le tabelle interessate, rendendole non disponibili per gli aggiornamenti per l'intera operazione. Le tabelle saranno disponibili per le letture.

Tipo:SwitchParameter
Posizione:Named
Valore predefinito:False
Necessario:False
Accettare l'input della pipeline:False
Accettare caratteri jolly:False

Input

Microsoft.SqlServer.Management.Smo.Database

Output

String