こんにちは、 SQL Server サポートです。
今回は、 Always On 可用性グループを構成するデータベースを Azure Key Vault を利用し TDE 暗号化する手順についてご紹介します。
手順の大まかな流れとしては以下の公開情報の手順を、プライマリ、セカンダリ両方で実施し、同じ非対称キーを用いてTDE暗号化する流れとなります。
Azure Key Vault を使用した SQL Server TDE 拡張キー管理を設定する
Azure Portal での手順
Azure Portal にて、「Azure Key Vault を使用した SQL Server TDE 拡張キー管理を設定する」の手順1-3を完了します。
手順 1:Azure AD サービス プリンシパルを設定する
-> 手順内で取得するクライアント ID 、シークレットはのちの手順で使用するため、必ずメモをしてください。
手順 2:Key Vault を作成します
手順 3:SQL Server コネクタをインストールする
-> プライマリ、セカンダリ両方に同じバージョンの SQL Server Connector をインストールします。
各VM上での手順
1.プライマリサーバーで EKM プロバイダーを有効化します。
1-1. SQL Server Management Studio でプライマリサーバーに接続します。
1-2. 次の Transact-SQL スクリプトを実行して、EKM を使用するようにSQL Serverを構成します。
— Enable advanced options. USE master; GO EXEC sp_configure ‘show advanced options’, 1; GO RECONFIGURE; GO — Enable EKM