Para que o Intel SGX esteja disponível, o banco de dados deve usar o modelo de vCore e o hardware série DC.
É responsabilidade do administrador de Banco de Dados SQL do Azure configurar o hardware série DC para habilitar enclaves do Intel SGX. Para obter mais informações, confira Funções e responsabilidades ao configurar atestados e enclaves Intel SGX.
Observação
O Intel SGX não está disponível nas configurações de hardware diferentes da série DC. Por exemplo, o Intel SGX não está disponível para hardware da série Standard (Gen5) e não está disponível para bancos de dados que usam o modelo de DTU.
Importante
Antes de configurar o hardware da série DC para o seu banco de dados, verifique a disponibilidade regional da série DC e se você entendeu as limitações de desempenho do hardware. Para obter mais informações, confira Série DC.
Para obter instruções detalhadas sobre como configurar um banco de dados novo ou existente para usar uma configuração de hardware específica, confira Configuração de hardware.
Para mais informações, confira Configurar o Atestado do Azure para o servidor do Banco de Dados SQL do Azure.
Por padrão, um novo banco de dados é criado sem enclaves de VBS. Para habilitar um enclave de VBS no seu banco de dados ou pool elástico, você precisa definir a propriedade de banco de dados preferredEnclaveType como VBS, que ativa o enclave de VBS para o banco de dados ou para o pool elástico. Você pode definir preferredEnclaveType ao criar um novo banco de dados ou pool elástico ou atualizando um banco de dados ou pool elástico existente. Qualquer banco de dados que você adicionar a um pool elástico herdará a propriedade do enclave dele, como o SLO do banco de dados. Portanto, se você adicionar um banco de dados sem enclaves de VBS habilitados para um pool elástico com VBS habilitado, esse novo banco de dados se tornará parte do pool elástico e os enclaves de VBS serão habilitados nesse banco de dados. Não é possível adicionar um banco de dados com enclaves de VBS habilitados a um pool elástico sem enclaves de VBS.
Você pode definir a propriedade preferredEnclaveType usando o portal do Azure, o SQL Server Management Studio, o Azure PowerShell ou a CLI do Azure.
Habilitar enclaves VBS usando o portal do Azure
Criar um novo banco de dados ou pool elástico com um enclave VBS
Abra o portal do Azure e localize o SQL Server lógico para o qual você deseja criar um banco de dados ou pool elástico com um enclave VBS.
Selecione Criar banco de dados ou o botão Novo pool elástico.
Na guia Segurança, localize a seção Sempre Criptografado.
Defina Habilitar enclaves seguros como ATIVADO. Isso criará um banco de dados com um enclave VBS habilitado.
Habilitar um enclave VBS para um banco de dados ou pool elástico existente
Abra o portal do Azure e localize o banco de dados ou o pool elástico para o qual você deseja habilitar enclaves seguros.
Para um banco de dados existente:
Em configurações de Segurança, selecione Criptografia de dados.
No menu Criptografia de Dados, selecione a guia Always Encrypted.
Defina Habilitar enclaves seguros como ATIVADO.
Selecione Salvar para salvar sua configuração do Always Encrypted.
Para um pool elástico existente:
Em Configurações, selecione Configuração.
No menu Configuração, selecione a guia Sempre Criptografado.
Defina Habilitar enclaves seguros como ATIVADO.
Selecione Salvar para salvar sua configuração do Always Encrypted.
Habilitando enclaves VBS usando o SQL Server Management Studio
Baixe a versão mais recente do SSMS (SQL Server Management Studio).
Criar um novo banco de dados com um enclave VBS
- Abra o SSMS e conecte-se ao servidor lógico onde você deseja criar seu banco de dados.
- Clique com o botão direito do mouse na pasta Bancos de dados e selecione Novo banco de dados.
- Na página Configurar SLO, defina a opção Habilitar Enclaves Seguros como ATIVADO. Isso criará um banco de dados com um enclave VBS habilitado.
Habilitar um enclave VBS para um banco de dados existente
- Abra o SSMS e conecte-se ao servidor lógico onde você deseja modificar seu banco de dados.
- Clique com o botão direito do mouse no banco de dados e selecione Propriedades.
- Na página Configurar SLO, defina a opção Habilitar Enclaves Seguros como ATIVADO.
- Selecione OK para salvar as propriedades do banco de dados.
Habilitar enclaves VBS usando o Azure PowerShell
Criar um novo banco de dados ou pool elástico com um enclave VBS
Crie um novo banco de dados com um enclave VBS com o cmdlet New-AzSqlDatabase. O exemplo a seguir cria um banco de dados sem servidor com um enclave VBS.
New-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
-ServerName "Server01" `
-DatabaseName "Database01" `
-Edition GeneralPurpose `
-ComputeModel Serverless `
-ComputeGeneration Gen5 `
-VCore 2 `
-MinimumCapacity 2 `
-PreferredEnclaveType VBS
Crie um novo pool elástico com um enclave de VBS com o cmdlet New-AzSqlElasticPool. O exemplo a seguir cria um pool elástico com um enclave de VBS.
New-AzSqlElasticPool `
-ComputeGeneration Gen5 `
-Edition 'GeneralPurpose' `
-ElasticPoolName $ElasticPoolName `
-ResourceGroupName $resourceGroupName `
-ServerName $serverName `
-VCore 2 `
-PreferredEnclaveType 'VBS'
Habilitar um enclave VBS para um banco de dados ou pool elástico existente
Para habilitar um enclave VBS para um banco de dados existente, use o cmdlet Set-AzSqlDatabase. Veja um exemplo:
Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
-DatabaseName "Database01" `
-ServerName "Server01" `
-PreferredEnclaveType VBS
Para habilitar um enclave de VBS para um pool elástico existente, use o cmdlet Set-AzSqlElasticPool. Veja um exemplo:
Set-AzSqlElasticPool `
-ResourceGroupName $resourceGroupName `
-ServerName $serverName `
-ElasticPoolName $ElasticPoolName `
-PreferredEnclaveType 'VBS'
Habilitar enclaves VBS usando a CLI do Azure
Criar um novo banco de dados ou pool elástico com um enclave VBS
Crie um novo banco de dados com um enclave VBS com o cmdlet az sql db create. O exemplo a seguir cria um banco de dados sem servidor com um enclave VBS.
az sql db create -g ResourceGroup01 `
-s Server01 `
-n Database01 `
-e GeneralPurpose `
--compute-model Serverless `
-f Gen5 `
-c 2 `
--min-capacity 2 `
--preferred-enclave-type VBS
Crie um novo pool elástico com um enclave de VBS com o cmdlet az sql elastic-pool create. O exemplo a seguir cria um banco de dados sem servidor com um enclave VBS.
az sql elastic-pool create -g ResourceGroup01 `
-s Server01 `
-n ElasticPool01 `
-e GeneralPurpose `
-f Gen5 `
-c 2 `
--preferred-enclave-type VBS
Habilitar um enclave VBS para um banco de dados ou pool elástico existente
Para habilitar um enclave VBS para um banco de dados existente, use o cmdlet az sql db update. Veja um exemplo:
az sql db update -g ResourceGroup01 `
-s Server01 `
-n Database01 `
--preferred-enclave-type VBS
Para habilitar um enclave de VBS para um pool elástico existente, use o cmdlet az sql elastic-pool update. Veja um exemplo:
az sql elastic-pool update -g ResourceGroup01 `
-s Server01 `
-n ElasticPool01 `
--preferred-enclave-type VBS
Banco de Dados SQL do Azure