Pour qu’Intel SGX soit disponible, la base de données doit utiliser le modèle vCore et le matériel de la série DC.
La configuration du matériel de série DC pour activer des enclaves Intel SGX est la responsabilité de l’administrateur Azure SQL Database. Pour plus d’informations, consultez Rôles et responsabilités lors de la configuration d’enclaves Intel SGX et de l’attestation.
Notes
Intel SGX n’est pas disponible dans les configurations matérielles autres que la série DC. Par exemple, Intel SGX n’est pas disponible pour le matériel de la série Standard (Gen5) et n’est pas disponible pour les bases de données utilisant le modèle DTU.
Important
Avant de configurer le matériel de série DC pour votre base de données, vérifiez la disponibilité régionale de la série DC et assurez-vous que vous comprenez ses limites de performances. Pour plus d’informations, consultez Série DC.
Pour obtenir des instructions détaillées sur la configuration d’une base de données nouvelle ou existante afin d’utiliser une configuration matérielle spécifique, consultez Configuration matérielle.
Pour plus d’informations, consultez Configurer Azure Attestation pour votre serveur Azure SQL Database.
Par défaut, une nouvelle base de données est créée sans enclaves VBS. Pour activer une enclave VBS dans votre base de données ou votre pool élastique, vous devez définir la propriété de base de données preferredEnclaveType sur VBS, ce qui active l’enclave VBS pour la base de données ou le pool élastique. Vous pouvez définir preferredEnclaveType quand vous créez une base de données ou un pool élastique en mettant à jour une base de données existante ou un pool élastique. Toute base de données que vous ajoutez à un pool élastique hérite de la propriété d’enclave, comme le SLO de base de données. Par conséquent, si vous ajoutez une base de données sans enclaves VBS activées à un pool élastique avec VBS activé, cette nouvelle base de données fait partie du pool élastique et les enclaves VBS sont activées sur cette base de données. L’ajout d’une base de données avec enclaves VBS activées à un pool élastique sans enclaves VBS n’est pas pris en charge.
Vous pouvez définir la propriété preferredEnclaveType en utilisant le Portail Azure, SQL Server Management Studio, Azure PowerShell ou Azure CLI.
Activation des enclaves de sécurité basée sur la virtualisation en utilisant le Portail Azure
Créer une nouvelle base de données ou un pool élastique avec une enclave de sécurité basée sur la virtualisation
Ouvrez le portail Azure et localisez le SQL Server logique pour lequel vous souhaitez créer une base de données ou un pool élastique avec une enclave de sécurité basée sur la virtualisation.
Sélectionnez Créer une base de données ou le bouton Nouveau pool élastique.
Dans l'onglet Sécurité, localisez la section Always Encrypted.
Définissez Activer les enclaves sécurisées sur MARCHE. Cette activation crée une base de données avec l'activation d'une enclave de sécurité basée sur la virtualisation.
Activer une enclave de sécurité basée sur la virtualisation pour une base de données ou un pool élastique existant
Ouvrez le portail Azure et localisez la base de données ou le pool élastique pour lequel vous souhaitez activer les enclaves sécurisées.
Pour une base de données existante :
Dans les paramètres de sécurité, sélectionnez Chiffrement de données.
Dans le menu Chiffrement de données, sélectionnez l'onglet Always Encrypted.
Définissez Activer les enclaves sécurisées sur MARCHE.
Pour enregistrer votre configuration Always Encrypted, sélectionnez Enregistrer.
Pour un pool élastique existant :
Dans Paramètres, sélectionnez Configuration.
Dans le menu Configuration, sélectionnez l'onglet Always Encrypted.
Définissez Activer les enclaves sécurisées sur MARCHE.
Pour enregistrer votre configuration Always Encrypted, sélectionnez Enregistrer.
Activation des enclaves de sécurité basée sur la virtualisation en utilisant SQL Server Management Studio
Téléchargez la dernière version de SQL Server Management Studio (SSMS).
Créer une base de données avec une enclave de sécurité basée sur la virtualisation
- Ouvrez SSMS et connectez-vous au serveur logique où vous souhaitez créer votre base de données.
- Faites un clic droit sur le dossier Bases de données et sélectionnez Nouvelle base de données...
- Sur la page Configurer SLO, définissez l'option Activer les enclaves sécurisées sur MARCHE. Cette activation crée une base de données avec l'activation d'une enclave de sécurité basée sur la virtualisation.
Activer une enclave de sécurité basée sur la virtualisation pour une base de données existante
- Ouvrez SSMS et connectez-vous au serveur logique dans lequel vous souhaitez modifier votre base de données.
- Faites un clic droit sur la base de données et sélectionnez Propriétés.
- Sur la page Configurer SLO, définissez l'option Activer les enclaves sécurisées sur MARCHE.
- Sélectionnez OK pour enregistrer les propriétés de votre base de données.
Activation des enclaves de sécurité basée sur la virtualisation avec Azure PowerShell
Créer une nouvelle base de données ou un pool élastique avec une enclave de sécurité basée sur la virtualisation
Créez une base de données avec une enclave VBS en utilisant la cmdlet New-AzSqlDatabase. L’exemple suivant crée une base de données serverless avec une enclave VBS.
New-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
-ServerName "Server01" `
-DatabaseName "Database01" `
-Edition GeneralPurpose `
-ComputeModel Serverless `
-ComputeGeneration Gen5 `
-VCore 2 `
-MinimumCapacity 2 `
-PreferredEnclaveType VBS
Créez un pool élastique avec une enclave VBS avec l’applet de commande New-AzSqlElasticPool. L’exemple suivant crée un pool élastique avec une enclave VBS.
New-AzSqlElasticPool `
-ComputeGeneration Gen5 `
-Edition 'GeneralPurpose' `
-ElasticPoolName $ElasticPoolName `
-ResourceGroupName $resourceGroupName `
-ServerName $serverName `
-VCore 2 `
-PreferredEnclaveType 'VBS'
Activer une enclave de sécurité basée sur la virtualisation pour une base de données ou un pool élastique existant
Pour activer une enclave VBS pour une base de données existante, utilisez la cmdlet Set-AzSqlDatabase. Voici un exemple :
Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
-DatabaseName "Database01" `
-ServerName "Server01" `
-PreferredEnclaveType VBS
Pour activer une enclave VBS pour un pool élastique existant, utilisez l’applet de commande Set-AzSqlElasticPool. Voici un exemple :
Set-AzSqlElasticPool `
-ResourceGroupName $resourceGroupName `
-ServerName $serverName `
-ElasticPoolName $ElasticPoolName `
-PreferredEnclaveType 'VBS'
Activation des enclaves de sécurité basée sur la virtualisation avec Azure CLI
Créer une nouvelle base de données ou un pool élastique avec une enclave de sécurité basée sur la virtualisation
Créez une base de données avec une enclave VBS en utilisant la cmdlet az sql db create. L’exemple suivant crée une base de données serverless avec une enclave VBS.
az sql db create -g ResourceGroup01 `
-s Server01 `
-n Database01 `
-e GeneralPurpose `
--compute-model Serverless `
-f Gen5 `
-c 2 `
--min-capacity 2 `
--preferred-enclave-type VBS
Créez un pool élastique avec une enclave VBS avec l’applet de commande az sql elastic-pool create. L’exemple suivant crée une base de données serverless avec une enclave VBS.
az sql elastic-pool create -g ResourceGroup01 `
-s Server01 `
-n ElasticPool01 `
-e GeneralPurpose `
-f Gen5 `
-c 2 `
--preferred-enclave-type VBS
Activer une enclave de sécurité basée sur la virtualisation pour une base de données ou un pool élastique existant
Pour activer une enclave VBS pour une base de données existante, utilisez la cmdlet az sql db update. Voici un exemple :
az sql db update -g ResourceGroup01 `
-s Server01 `
-n Database01 `
--preferred-enclave-type VBS
Pour activer une enclave VBS pour un pool élastique existant, utilisez l’applet de commande az sql elastic-pool update. Voici un exemple :
az sql elastic-pool update -g ResourceGroup01 `
-s Server01 `
-n ElasticPool01 `
--preferred-enclave-type VBS
Azure SQL Database