Jaa

Asiakkaan hallinnoimat avaimet Fabric-työtiloille

Microsoft Fabric salaa kaikki lepotilassa olevat tiedot Microsoftin hallinnoimien avainten avulla. Asiakkaan hallinnoimien avainten avulla Fabric työtiloille voit käyttää Azure Key Vault-avaimiasi lisätäksesi uuden suojakerroksen Microsoft Fabric työtilojen tietoihin – mukaan lukien kaikki OneLaken tiedot. Asiakkaan hallitsema avain on joustavampi tapa hallita sen kiertoa, käyttöoikeuksia ja käytön valvontaa. Sen avulla organisaatiot voivat myös vastata tietojen hallintatarpeisiin sekä noudattaa tietosuoja- ja salausstandardeja.

Miten asiakashallintaiset avaimet toimivat

Kaikki Fabric-tietovarastot on salattu levossa Microsoft:n hallinnoimilla avaimilla. Asiakkaan hallitsemissa avaimissa käytetään kirjesalausta, jossa AVAIMEN salausavain (KEY Encryption Key, KEK) salaa tietojen salausavaimen (DEK). Kun käytät asiakkaan hallinnoimia avaimia, Microsoft:n hallinnoima DEK salaa tietosi, ja DEK salataan asiakkaan hallinnoimalla KEK:llä. KEK:n käyttö, joka ei koskaan poistu Key Vaultista, mahdollistaa datan salausavainten salaamisen ja hallinnan. Näin varmistetaan, että kaikki CMK:ta käyttävän työtilan asiakassisältö salataan asiakkaan hallitsemilla avaimilla.

Ota salaus käyttöön asiakkaan hallitsemilla avaimilla työtilassasi

Työtilan järjestelmänvalvojat voivat määrittää salauksen CMK:n avulla työtilatasolla. Kun työtilan järjestelmänvalvoja ottaa asetuksen käyttöön portaalissa, kaikki kyseiseen työtilaan tallennettu asiakassisältö salataan määritetyllä CMK:lla. CMK integroituu AKV:n pääsykäytäntöihin ja roolipohjaiseen käyttöoikeuksien hallintaan (RBAC), mikä antaa joustavuutta määritellä yksityiskohtaisia käyttöoikeuksia organisaatiosi tietoturvamallin perusteella. Jos päätät myöhemmin poistaa CMK-salauksen käytöstä, työtila palaa käyttämään Microsoftin hallinnoimia avaimia. Voit myös peruuttaa avaimen milloin tahansa, ja pääsy salattuihin tietoihin estetään tunnin kuluessa peruutuksesta. Työtilan tason tarkkuudella ja hallinnalla nostat tietojesi turvallisuutta Fabric:ssa.

Tuetut kohteet

Asiakkaan hallinnoimia avaimia tuetaan tällä hetkellä seuraaville Fabric-tuotteille:

  • Lakehouse
  • Varasto
  • Muistikirja
  • Environment
  • Spark-työn määritelmä
  • GraphQL:n ohjelmointirajapinta
  • ML-malli
  • Experiment
  • Pipeline
  • Dataflow
  • Toimialan ratkaisut
  • SQL-tietokanta
  • Eventhouse (ennakko)
  • Kaavio (esikatselu)

Tätä ominaisuutta ei voi ottaa käyttöön työtilassa, joka sisältää kohteita, joita ei tueta. Kun asiakkaan hallinnoima avainsalaus Fabric-työtilassa on käytössä, kyseisessä työtilassa voidaan luoda vain tuettuja kohteita. Jos haluat käyttää tuettuja kohteita, luo ne toiseen työtilaan, jossa tätä ominaisuutta ei ole käytössä.

Salauksen määrittäminen asiakkaan hallitsemilla avaimilla työtilassasi

Asiakkaan hallinnoima avain Fabric-työtiloille vaatii alkuvaiheen asennuksen. Tämä järjestely sisältää Fabric-salausvuokralaisen asetuksen käyttöönoton, Azure Key Vault -konfiguroinnin sekä Fabric Platform CMK-sovelluksen pääsyn Azure Key Vault:iin. Kun määritys on valmis, käyttäjä, jolla on järjestelmänvalvojantyötilarooli, voi ottaa ominaisuuden käyttöön työtilassa.

Vaihe 1: Ota Fabric-vuokralainen käyttöön

Fabric-ylläpitäjän täytyy varmistaa, että Apply customer-managed keys -asetus on käytössä. Lisätietoja on artikkelissa Salausvuokraajan määrittäminen .

Vaihe 2: Luo palveluperiaate Fabric Platform CMK -sovellukselle

Fabric käyttää Fabric Platform CMK -sovellusta päästäkseen Azure Key Vault käyttöön. Jotta sovellus toimisi, vuokraajalle on luotava palvelun päänimi . Tämän prosessin suorittaa käyttäjä, jolla on Microsoft Entra ID oikeuksia, kuten Cloud Application Administrator.

Seuraa ohjeita kohdassa Luo yrityssovellus monivuokralaisesta sovelluksesta Microsoft Entra ID luodaksesi palvelupäähenkilön sovellukselle nimeltä Fabric Platform CMK sovellustunnuksella 61d6811f-7544-4e75-a1e6-1c59c0383311 Microsoft Entra ID vuokralaisessa käytössäsi.

Vaihe 3: Määritä Azure Key Vault

Sinun täytyy konfiguroida Key Vault niin, että Fabric pääsee siihen käsiksi. Tämän vaiheen suorittaa käyttäjä, jolla on Key Vault oikeuksia, kuten Key Vault Administrator. Lisätietoja löytyy Azure Security roolit.

  1. Avaa Azure-portaali ja siirry Key Vault -sivustollesi. Jos sinulla ei ole Key Vault, seuraa ohjeita Luo key vault käyttämällä Azure portalia.

  2. Määritä Key Vault -sovelluksessasi seuraavat asetukset:

  3. Avaa Key Vault Access Control (IAM).

  4. Valitse avattavasta Lisää-valikostaLisää roolimääritys.

  5. Valitse Jäsenet-välilehti ja napsauta sitten Valitse jäsenet.

  6. Etsi Valitse jäsenten paneelistaFabric Platform CMK

  7. Valitse Fabric Platform CMK -sovellus ja sitten Select.

  8. Valitse Role-välilehti ja etsi Key Vault Crypto Service Encryption User tai rooli, joka mahdollistaa get, wrapkey ja unwrap key -oikeudet.

  9. Valitse Key Vault Crypto Service Encryption User.

  10. Valitse Tarkista + määritä ja vahvista sitten valintasi valitsemalla Tarkista + määritä .

Vaihe 4: Luo Azure Key Vault -avain

Azure Key Vault-avaimen luomiseksi seuraa ohjeita kohdassa Luo avainholvi käyttäen Azure portal.

Key Vault-vaatimukset

Fabric tukee vain versiottomia asiakashallinnoimia avaimia, jotka ovat avaimia muodossa https://{vault-name}.vault.azure.net/{key-type}/{key-name} holveille ja https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} hallittuun HSM:ään. Fabric tarkistaa avainholvin päivittäin uuden version varalta ja käyttää uusinta saatavilla olevaa versiota. Jotta sinulla ei olisi aikaa käyttää työtilan tietoja uuden avaimen luomisen jälkeen, odota 24 tuntia ennen vanhemman version poistamista käytöstä.

Key Vault ja Managed HSM -järjestelmässä täytyy olla sekä soft-delete että purge-suojaus päällä, ja avaimen tulee olla RSA- tai RSA-HSM-tyyppinen. Tuetut avainkoot ovat seuraavat:

  • 2 048 bittiä
  • 3 072 bittiä
  • 4 096 bittiä

Lisätietoja on kohdassa Tietoja avaimista.

Note

4 096-bittisiä avaimia ei tueta SQL-tietokannassa Microsoft Fabric:ssa.

Voit myös käyttää Azure Key Vaulteja, joissa palomuuriasetus on päällä. Kun poistat julkisen pääsyn Key Vault:iin, voit valita vaihtoehdoksi 'Salli luotettujen Microsoft-palveluiden ohittaa tämä palomuuri.'

Vaihe 5: Ota salaus käyttöön asiakkaan hallitsemilla avaimilla

Kun olet suorittanut ennakkovaatimukset, seuraa tämän osion vaiheita ottaaksesi käyttöön asiakkaan hallinnoimat avaimet Fabric-työtilassasi.

  1. Valitse Fabric työtilastasi Workspace settings.

  2. Valitse Työtilan asetukset -ruudusta Salaus.

  3. Ota käyttöön Asiakkaan hallitsemien avainten käyttö.

  4. Kirjoita Avaintunniste-kenttään asiakkaan hallitsema avaintunniste.

  5. Valitse Käytä.

Kun olet suorittanut nämä vaiheet, työtila salataan asiakkaan hallitsemalla avaimella. Tämä tarkoittaa, että kaikki OneLaken tiedot ovat salattuja ja että nykyiset ja tulevat kohteet työtilassa on salattu asiakkaan hallinnoimalla avaimella, jota käytit asennuksessa. Voit tarkistaa salauksen tilan aktiivisena, keskeneräinen tai epäonnistunut työtilan asetusten Salaus-välilehdessä . Kohteet, joiden salaus on kesken tai jotka epäonnistuvat, luetellaan myös luokittaisesti. Avaimen täytyy pysyä aktiivisena Key Vault salauksen aikana (Tila: käynnissä). Päivitä sivu, jotta näet viimeisimmän salauksen tilan. Jos salaus on epäonnistunut joissain työtilan kohteissa, voit yrittää uudelleen käyttämällä eri avainta.

Käyttöoikeuden kumoaminen

Jos haluat peruuttaa pääsyn dataan työtilassa, joka on salattu asiakkaan hallinnoimalla avaimella, peruuta avain Azure Key Vaultista. 60 minuutin sisällä siitä, kun avain on kumottu, työtilan luku- ja kirjoituskutsut epäonnistuvat.

Voit kumota asiakkaan hallitseman salausavaimen muuttamalla käyttöoikeuskäytäntöä, muuttamalla avainsäilön käyttöoikeuksia tai poistamalla avaimen.

Palauttaaksesi pääsyn, palauta pääsy asiakkaan hallinnoimaan avaimeen Key Vaultissa.

Note

Työtila ei automaattisesti vahvista SQL-tietokannan avainta Microsoft Fabric -sovelluksessa. Sen sijaan sinun täytyy manuaalisesti validoida CMK uudelleen palauttaaksesi pääsyn.

Poista salaus käytöstä

Jos haluat poistaa työtilan salaamisen käytöstä asiakkaan hallitsemalla avaimella, siirry kohtaan Työtilan asetukset ja poista Käytä asiakkaan hallitsemia avaimia käytöstä. Työtila pysyy salattuna Microsoft Managed -avaimilla.

Note

Et voi poistaa asiakkaan hallinnoimia avaimia käytöstä, kun Fabric-kohteiden salaus työtilassasi on käynnissä.

Monitoring

Voit seurata salauskonfiguraatiopyyntöjä Fabric-työtiloillesi auditointilokien perusteella. Valvontalokeissa käytetään seuraavia toimintojen nimiä:

  • ApplyWorkspaceEncryption
  • DisableWorkspaceEncryption käytöstä
  • GetWorkspaceEncryption

Huomioitavat asiat ja rajoitukset

Ennen kuin konfiguroit Fabric-työtilasi asiakkaan hallinnoimalla avaimella, ota huomioon seuraavat rajoitukset:

  • Seuraavat tiedot eivät ole suojattuja asiakkaan hallinnoimilla avaimilla:

    • Lakehouse-sarakkeiden nimet, taulukon muoto, taulukon pakkaus.
    • Kaikki Spark-klustereissa tallennettu data (data, joka tallennetaan väliaikaisille levyille osana sekoitusta, datavuotoja tai RDD-välimuistia Spark-sovelluksessa) ei ole suojattu. Tähän sisältyvät kaikki Spark Jobs, kuten Notebooks, Lakehouses, Spark Job Definitions, Lakehouse Table Load and Maintenance -työt, Shortcut Transforms sekä Fabric Materialized View Refresh.
    • Historiapalvelimeen tallennetut työlokit
    • Kirjastot, jotka on liitetty osana ympäristöjä tai lisätty osana Spark-istunnon räätälöintiä taikakomentojen avulla, eivät ole suojattuja
    • Putki- ja kopiointityötä luotaessa luodut metatiedot, kuten tietokannan nimi, taulukko ja rakenne
    • Koneoppimismallin ja kokeilujen metatiedot, kuten mallin nimi, versio, mittarit
    • Varastokyselyt tutkitusta objektista ja taustavälimuistista, joka häädetään jokaisen käytön jälkeen

  • CMK:ta tuetaan kaikissa F-varastointiyksiköissä. Kokeilukapasiteettia ei voi käyttää salaukseen CMK:lla.

  • Voit ottaa CMK:n päälle työtiloille, jotka on isännöity BYOK-kapasiteetissa. Samoja tai erillisiä näppäimiä voidaan käyttää suojaamaan sekä CMK-yhteensopivassa työtilassa olevia kohteita että BYOK-kapasiteetissa sijaitsevia semanttisia malleja. (esiversio)

  • CMK voidaan ottaa käyttöön Fabric-portaalin kautta, eikä sillä ole API-tukea.

  • CMK voidaan ottaa käyttöön ja poistaa käytöstä työtilassa, kun vuokraajatason salausasetus on käytössä. Kun vuokraaja-asetus on poistettu käytöstä, et voi enää ottaa CMK:ta käyttöön kyseisen vuokraajan työtiloissa tai poistaa CMK:ta käytöstä työtiloissa, joissa CMK on jo käytössä kyseisessä vuokraajassa. Data työtiloissa, joissa CMK oli käytössä ennen kuin vuokraajan asetus poistettiin käytöstä, pysyvät salattuina asiakkaan hallinnoimalla avaimella. Pidä siihen liittyvä avain aktiivisena, jotta voit avata kyseisen työtilan tiedot.

Liittyvä sisältö

  • Last updated on