Erişim denetimi için hassas veri paketleri
Verileri korumak için bir Integration Servicespaketi, sadece duyarlı veriler veya paket tüm verilerin korunmasına yardımcı olur bir koruma düzeyi ayarlayabilirsiniz. Ayrıca, parola veya kullanıcı anahtarı ile bu verileri şifrelemek veya veritabanında verileri şifrelemek için kullanmaz. Ayrıca, kullandığınız için paket koruma düzeyi mutlaka statik değil, ama hayatı boyunca değişiklik paketi döngüsü. Paketi dağıtmak en kısa sürede size genellikle bir koruma geliştirme ve başka sırasında düzeyi ayarlayın.
[!NOT]
Koruma düzeylerine ek olarak, bu konuda açıklanan sabit veritabanı düzey roller için kaydedilen paketleri korumak için kullanabileceğiniz Integration Servicessunucu. Daha fazla bilgi için, bkz. Controlling Access to Integration Services Objects.
Hassas bilgilerin tanımı
İçinde bir Integration Servicespaketi aşağıdaki bilgileri olarak tanımlanan hassas:
Bağlantı dizesi parola bölümü. Ancak, tüm bağlantı dizesi, herşeyi şifreler bir seçenek belirlerseniz, hassas değerlendirilecektir.
Duyarlı Etiketlenmiş görev tarafından oluşturulan xml düğümleri. xml düğümleri etiketleme tarafından kontrol edilen Integration Servicesve cant değiştiren kullanıcılar tarafından.
Hassas olarak işaretlenmiş herhangi bir değişken. İşaretleme için değişkenler tarafından kontrol edilen Integration Services.
Olup Integration Servicesönemli bir özelliğine bağlıdır olup düşünüyor geliştiricisi Integration Servicesbileşen, Bağlantı Yöneticisi'ni veya görev gibi duyarlı özelliği İçilir. Kullanıcılar özelliklerini ekleyemez, ne de onlar hassas olarak kabul edilen özellikleri listesinden, özellikleri kaldırabilirsiniz.
Şifreleme
Şifreleme paketi koruma düzeyleri tarafından kullanılan olarak gerçekleştirilir kullanarak MicrosoftŞifreleme API (CryptoAPI) bir parçası olan veri koruma API (DPAPI).
Parolalar kullanarak paketler şifreleme paketi koruma düzeyleri de bir parola sağlamanız gerekir. Yok bir parola bir kullanmak değil bir düzeyden koruma düzeyini değiştirirseniz, parola istenir.
Ayrıca, parola, kullandığınız koruma düzeyleri için Integration Servicesbulunan 192 bitlik anahtar uzunluğu ile Üçlü des şifreleme algoritmasını kullanır .NET FrameworkClass Library (fcl).
Koruma düzeyleri
Koruma aşağıdaki tabloda açıklanmıştır Bu düzeyleri Integration Servicessağlar. Parantez içindeki değerleri değerler DTSProtectionLevelnumaralandırma. Bu değerler paketlerinde çalışırken paket özelliklerini yapılandırmak için Özellikler penceresi görünür SQL Server Veri Akışı Araçları (SSDT).
Koruma düzeyi |
Açıklama |
|---|---|
Duyarlı değil kaydetme (DontSaveSensitive) |
Paket kaydedildiğinde paketi duyarlı özelliklerin değerlerini bastırır. Bu koruma düzeyi değil şifrelemek, ancak bunun yerine paketi ile kaydedilen gizli olarak işaretlenmiş özellikler engeller ve bu nedenle hassas verileri diğer kullanıcılara kullanılamaz duruma getirir. Farklı bir kullanıcı paketi açılırsa, hassas bilgi boşlukları ile değiştirilir ve kullanıcı hassas bilgileri sağlamanız gerekir. Kullanıldığında dtutilyarar (dtutil.exe), bu koruma düzeyi 0 değerine karşılık gelir. |
Tüm parola ile şifrelemek (EncryptAllWithPassword) |
Bütün paketi şifrelemek için bir parola kullanır. Paket, paket oluşturulduğunda veya verilen kullanıcı sağlayan bir parola kullanılarak şifrelenir. Paket içinde açmak için SSISTasarımcısı veya kullanarak Çalıştır paketi dtexeckomut satırı yardımcı programı, kullanıcı paketi parola sağlamalısınız. Parolasız kullanıcı olamaz veya erişim paketi çalıştırın. Kullanıldığında dtutilyarar, bu koruma düzeyi 3 değerine karşılık gelir. |
Tüm kullanıcı anahtarla şifreleme (EncryptAllWithUserKey) |
Bütün paketi şifrelemek için geçerli kullanıcı profiline dayalı bir anahtar kullanır. Oluşturulan veya paket verilen kullanıcı-ebilmek açık paket içinde sadece SSISTasarımcısı veya kullanarak Çalıştır paketi dtexeckomut satırı yardımcı programı. Kullanıldığında dtutilyarar, bu koruma düzeyi 4 değerine karşılık gelir. .gif "Not") Not
Bir kullanıcı anahtar koruma düzeyleri Integration ServicesDPAPI standartlarını kullanır.DPAPI hakkında daha fazla bilgi için bkz: MSDN Kitaplığı, https://MSDN.microsoft.com/library.
|
Duyarlı parolayla şifrele (EncryptSensitiveWithPassword) |
Yalnızca paketi duyarlı özelliklerin değerleri şifrelemek için bir parola kullanır. DPAPI bu şifrelemesi için kullanılır. Ancak bu veriler, geçerli kullanıcı paketi oluşturulduğunda veya dışa sağlayan bir parola kullanılarak şifrelenir hassas veri paketinin bir parçası olarak kaydedilir. Paket içinde açmak için SSIStasarımcı, kullanıcı paketi parola sağlamalısınız. Parola verilmezse olmadan hassas veri paketi açar ve geçerli kullanıcının yeni değerleri hassas verileri sağlamanız gerekir. Kullanıcı, parola sağlamadan paketini yürütmek çalışıyor, paketi yürütme başarısız olur. Parolalar ve komut satırından çalıştırma hakkında daha fazla bilgi için bkz: dtexec Utility. Kullanıldığında dtutilyarar, bu koruma düzeyi 2 değerine karşılık gelir. |
Kullanıcı anahtarı ile duyarlı şifrele (EncryptSensitiveWithUserKey) |
Yalnızca paketi duyarlı özelliklerin değerleri şifrelemek için geçerli kullanıcı profilinin temel bir anahtar kullanır. Yalnızca aynı profili kullanan aynı kullanıcı paketi yükleyebilirsiniz. Farklı bir kullanıcı paketi açılırsa, hassas bilgi boşlukları ile değiştirilir ve geçerli kullanıcının yeni değerleri hassas verileri sağlamanız gerekir. Kullanıcı paketi yürütme girişiminde paketi yürütme başarısız olur. DPAPI bu şifrelemesi için kullanılır. Kullanıldığında dtutilyarar, bu koruma düzeyi 1 değerine karşılık gelir. Not
Bir kullanıcı anahtar koruma düzeyleri Integration ServicesDPAPI standartlarını kullanır.DPAPI hakkında daha fazla bilgi için bkz: MSDN Kitaplığı, https://MSDN.microsoft.com/library.
|
Şifreleme için sunucu depolama bağlıdır (ServerStorage) |
Bütün paketi kullanarak korur SQL Serververitabanı rolü. Bu seçenek, yalnızca bir paket için kaydedildiğinde desteklenir SQL Server msdbveritabanı. Paket dosya sisteminden kaydedildiğinde desteklenmiyor SQL Server Veri Akışı Araçları (SSDT). |
Koruma düzeyi ayarını temel paket yaşam döngüsü
Koruma düzeyini ayarla bir SQL Server Integration Servicesilk geliştirdiğinizde, bu paketi SQL Server Veri Akışı Araçları (SSDT). Daha sonra paketi dağıtılırken alınamaz veya verilemez dan Integration Servicesde SQL Server Management Studio, ya da kopyalanan dan SQL Server Veri Akışı Araçları (SSDT)için SQL Server, SSISpaket deposu veya dosya sistemi, sen-ebilmek güncelleştirmek paket koruma düzeyi. Oluşturmak ve bir kullanıcı anahtar koruması düzeyi seçenekleri ile bilgisayarınızda paketleri kaydederseniz, büyük olasılıkla paketi diğer kullanıcılara vermek koruma düzeyini değiştirmek istediğiniz; Aksi takdirde paketi açılamıyor.
Genellikle, koruma düzeyi aşağıdaki adımlarda listelendiği gibi değiştirin:
Geliştirme sırasında varsayılan değer olarak ayarlı paketleri koruma düzeyini bırakın EncryptSensitiveWithUserKey. Bu ayar, yalnızca geliştirici paketi duyarlı değerleri gördüğü sağlamaya yardımcı olur. Ya da, sen-ebilmek iyice düşünüp taşınmak istimal EncryptAllWithUserKey, ya DontSaveSensitive.
Paketleri dağıtmak için zaman olduğunda, geliştiricinin kullanıcı anahtara bağımlı olmayan bir koruma düzeyini değiştirmek zorunda. Bu nedenle genellikle seçmek var EncryptSensitiveWithPassword, ya EncryptAllWithPassword. Paketler, operasyon ekibi üretim ortamında da bilinen geçici bir güçlü parola atayarak şifreleyin.
Sonra paketleri üretim ortamına dağıtılıp, operasyon ekibi yalnızca kendileri için bilinen güçlü bir parola atayarak dağıtılan paketler re-encrypt. Ya da, onlar dağıtılan paketler seçerek şifreleyebilirsiniz EncryptSensitiveWithUserKeyya EncryptAllWithUserKeyve Yerel Paketleri çalışır hesabı kimlik bilgilerini kullanarak.
ilişkili Görevler
İlişkili İçerik
|
.gif "Integration Services simgesi (küçük)")
Integration Services ile güncel kalınAyrıca bkz.
Görevler
Alma ve verme paketleri (eski SSIS hizmeti)
How to: Import or Export a Package by Using SQL Server Management Studio (Legacy SSIS Service)