Para que o Intel SGX esteja disponível, o banco de dados deve usar o modelo vCore e o hardware da série DC.
A configuração do hardware da série DC para habilitar enclaves Intel SGX é de responsabilidade do administrador do Banco de Dados SQL do Azure. Para obter mais informações, consulte Funções e responsabilidades ao configurar enclaves e atestados Intel SGX.
Nota
Intel SGX não está disponível em configurações de hardware que não sejam da série DC. Por exemplo, o Intel SGX não está disponível para hardware da série padrão (Gen5) e não está disponível para bancos de dados que usam o modelo DTU.
Importante
Antes de configurar o hardware da série DC para seu banco de dados, verifique a disponibilidade regional da série DC e certifique-se de entender suas limitações de desempenho. Para obter mais informações, consulte Série DC.
Para obter instruções detalhadas sobre como configurar um banco de dados novo ou existente para usar uma configuração de hardware específica, consulte Configuração de hardware.
Próximos passos
Importante
O recurso de enclaves VBS no Banco de Dados SQL do Azure está atualmente em visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Por padrão, um novo banco de dados é criado sem enclaves VBS. Para habilitar um enclave VBS em seu banco de dados ou pool elástico, você precisa definir a propriedade de banco de dados preferredEnclaveTypecomo VBS, que ativa o enclave VBS para o banco de dados ou o pool elástico. Você pode definir preferredEnclaveType ao criar um novo banco de dados ou pool elástico ou atualizando um banco de dados ou pool elástico existente. Qualquer banco de dados adicionado a um pool elástico herdará a propriedade enclave dele, como o SLO do banco de dados. Portanto, se você adicionar um banco de dados sem enclaves VBS habilitados a um pool elástico com VBS habilitado, esse novo banco de dados se tornará parte do pool elástico e os enclaves VBS serão habilitados nesse banco de dados. Não há suporte para a adição de um banco de dados com enclaves VBS habilitados a um pool elástico sem enclaves VBS.
Você pode definir a propriedade preferredEnclaveType usando o portal do Azure, o SQL Server Management Studio, o Azure PowerShell ou a CLI do Azure.
Habilitando enclaves VBS usando o portal do Azure
Criar um novo banco de dados ou pool elástico com um enclave VBS
Abra o portal do Azure e localize o SQL Server lógico para o qual você deseja criar um banco de dados ou pool elástico com um enclave VBS.
Selecione Criar banco de dados ou o botão Novo pool elástico.
Na guia Segurança, localize a seção Sempre criptografado.
Defina Ativar enclaves seguros como ATIVADO. Isso criará um banco de dados com um enclave VBS habilitado.
Habilitar um enclave VBS para um banco de dados existente ou pool elástico
Abra o portal do Azure e localize o banco de dados ou pool elástico para o qual você deseja habilitar enclaves seguros.
Para uma base de dados existente:
Em Configurações de segurança, selecione Criptografia de dados.
No menu Criptografia de dados, selecione a guia Sempre criptografado.
Defina Ativar enclaves seguros como ATIVADO.
Selecione Salvar para salvar sua configuração Always Encrypted.
Para um pool elástico existente:
Em Configurações, selecione Configuração.
No menu Configuração, selecione a guia Sempre criptografado.
Defina Ativar enclaves seguros como ATIVADO.
Selecione Salvar para salvar sua configuração Always Encrypted.
Habilitando enclaves VBS usando o SQL Server Management Studio
Baixe a versão mais recente do SQL Server Management Studio (SSMS).
Criar um novo banco de dados com um enclave VBS
- Abra o SSMS e conecte-se ao servidor lógico onde você deseja criar seu banco de dados.
- Clique com o botão direito do mouse na pasta Bancos de Dados e selecione Novo Banco de Dados...
- Na página Configurar SLO, defina a opção Ativar Enclaves Seguros como ON. Isso criará um banco de dados com um enclave VBS habilitado.
Habilitar um enclave VBS para um banco de dados existente
- Abra o SSMS e conecte-se ao servidor lógico onde você deseja modificar seu banco de dados.
- Clique com o botão direito do mouse no banco de dados e selecione Propriedades.
- Na página Configurar SLO, defina a opção Ativar Enclaves Seguros como ON.
- Selecione OK para salvar as propriedades do banco de dados.
Habilitando enclaves VBS usando o Azure PowerShell
Criar um novo banco de dados ou pool elástico com um enclave VBS
Crie um novo banco de dados com um enclave VBS com o cmdlet New-AzSqlDatabase . O exemplo a seguir cria um banco de dados sem servidor com um enclave VBS.
New-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
-ServerName "Server01" `
-DatabaseName "Database01" `
-Edition GeneralPurpose `
-ComputeModel Serverless `
-ComputeGeneration Gen5 `
-VCore 2 `
-MinimumCapacity 2 `
-PreferredEnclaveType VBS
Crie um novo pool elástico com um enclave VBS com o cmdlet New-AzSqlElasticPool . O exemplo a seguir cria um pool elástico com um enclave VBS.
New-AzSqlElasticPool `
-ComputeGeneration Gen5 `
-Edition 'GeneralPurpose' `
-ElasticPoolName $ElasticPoolName `
-ResourceGroupName $resourceGroupName `
-ServerName $serverName `
-VCore 2 `
-PreferredEnclaveType 'VBS'
Habilitar um enclave VBS para um banco de dados existente ou pool elástico
Para habilitar um enclave VBS para um banco de dados existente, use o cmdlet Set-AzSqlDatabase . Eis um exemplo:
Set-AzSqlDatabase -ResourceGroupName "ResourceGroup01" `
-DatabaseName "Database01" `
-ServerName "Server01" `
-PreferredEnclaveType VBS
Para habilitar um enclave VBS para um pool elástico existente, use o cmdlet Set-AzSqlElasticPool . Eis um exemplo:
Set-AzSqlElasticPool `
-ResourceGroupName $resourceGroupName `
-ServerName $serverName `
-ElasticPoolName $ElasticPoolName `
-PreferredEnclaveType 'VBS'
Habilitando enclaves VBS usando a CLI do Azure
Criar um novo banco de dados ou pool elástico com um enclave VBS
Crie um novo banco de dados com um enclave VBS com o cmdlet az sql db create . O exemplo a seguir cria um banco de dados sem servidor com um enclave VBS.
az sql db create -g ResourceGroup01 `
-s Server01 `
-n Database01 `
-e GeneralPurpose `
--compute-model Serverless `
-f Gen5 `
-c 2 `
--min-capacity 2 `
--preferred-enclave-type VBS
Crie um novo pool elástico com um enclave VBS com o cmdlet az sql elastic-pool create . O exemplo a seguir cria um banco de dados sem servidor com um enclave VBS.
az sql elastic-pool create -g ResourceGroup01 `
-s Server01 `
-n ElasticPool01 `
-e GeneralPurpose `
-f Gen5 `
-c 2 `
--preferred-enclave-type VBS
Habilitar um enclave VBS para um banco de dados existente ou pool elástico
Para habilitar um enclave VBS para um banco de dados existente, use o cmdlet az sql db update . Eis um exemplo:
az sql db update -g ResourceGroup01 `
-s Server01 `
-n Database01 `
--preferred-enclave-type VBS
Para habilitar um enclave VBS para um pool elástico existente, use o cmdlet az sql elastic-pool update . Eis um exemplo:
az sql elastic-pool update -g ResourceGroup01 `
-s Server01 `
-n ElasticPool01 `
--preferred-enclave-type VBS
Banco de Dados SQL do Azure