Clés gérées par le client pour les espaces de travail Fabric

Microsoft Fabric chiffre toutes les données au repos à l’aide de clés managées Microsoft. Avec les clés gérées par le client pour Fabric espaces de travail, vous pouvez utiliser vos clés Azure Key Vault pour ajouter une autre couche de protection aux données de vos espaces de travail Microsoft Fabric, y compris toutes les données dans OneLake. Une clé gérée par le client offre une plus grande flexibilité, ce qui vous permet de gérer sa rotation, contrôler l’accès et l’audit de l’utilisation. Elle aide également les organisations à répondre aux besoins de gouvernance des données et à se conformer aux normes de protection et de chiffrement des données.

Fonctionnement des clés gérées par le client

Tous les magasins de données Fabric sont chiffrés au repos avec des clés gérées par Microsoft. Les clés gérées par le client utilisent le chiffrement d’enveloppe, où une clé de chiffrement de clé (KEK) chiffre une clé de chiffrement de données (DEK). Lorsque vous utilisez des clés gérées par le client, la clé DEK managée Microsoft chiffre vos données, puis la clé DEK est chiffrée à l’aide de votre clé KEK gérée par le client. L’utilisation d’une clé KEK qui ne laisse jamais Key Vault permet aux clés de chiffrement de données elles-mêmes d’être chiffrées et contrôlées. Cela garantit que tout le contenu client d’un espace de travail compatible CMK est chiffré à l’aide de vos clés gérées par le client.

Activer le chiffrement avec des clés gérées par le client pour votre espace de travail

Les administrateurs d’espace de travail peuvent configurer le chiffrement à l’aide de CMK au niveau de l’espace de travail. Une fois que l’administrateur de l’espace de travail active le paramètre dans le portail, tout le contenu client stocké dans cet espace de travail est chiffré à l’aide de la clé CMK spécifiée. CMK s’intègre aux stratégies d’accès d’AKV et au contrôle d’accès en fonction du rôle (RBAC), ce qui vous permet de définir des autorisations granulaires en fonction du modèle de sécurité de votre organisation. Si vous choisissez de désactiver le chiffrement CMK ultérieurement, l’espace de travail revient à utiliser des clés gérées par Microsoft. Vous pouvez également révoquer la clé à tout moment et l’accès aux données chiffrées est bloqué dans un délai d’une heure de révocation. Avec une granularité et un contrôle au niveau de l’espace de travail, vous augmentez la sécurité de vos données dans Fabric.

Éléments pris en charge

Les clés gérées par le client sont actuellement prises en charge pour les éléments de Fabric suivants :

  • Lakehouse
  • Entrepôt
  • Notebook
  • Environnement
  • Définition de la tâche Spark
  • API pour GraphQL
  • Modèle ML
  • Expérience
  • Pipeline
  • Flux de données
  • Tâche de copie
  • Solutions sectorielles
  • SQL Database
  • Eventhouse (préversion)
  • Graph (préversion)

Cette fonctionnalité ne peut pas être activée pour un espace de travail qui contient des éléments non pris en charge. Lorsque le chiffrement de clé gérée par le client pour un espace de travail Fabric est activé, seuls les éléments pris en charge peuvent être créés dans cet espace de travail. Pour utiliser des éléments non pris en charge, créez-les dans un autre espace de travail pour lequel cette fonctionnalité n’est pas activée.

Configurer le chiffrement avec des clés gérées par le client pour votre espace de travail

La clé gérée par le client pour les espaces de travail Fabric nécessite une configuration initiale. Cette configuration inclut l’activation du paramètre de locataire de chiffrement Fabric, la configuration de Azure Key Vault et l’octroi de l’accès à l’application CMK de plateforme Fabric à Azure Key Vault. Une fois l’installation terminée, un utilisateur disposant d’un rôle d’espace de travailadministrateur peut activer la fonctionnalité sur l’espace de travail.

Étape 1 : Activer le paramètre de client Fabric

Un administrateur Fabric doit s'assurer que le paramètre Apply customer-managed keys est activé. Pour plus d’informations, consultez l’article sur le paramètre de locataire de chiffrement .

Étape 2 : Créer un principal de service pour l’application CMK de plateforme Fabric

Fabric utilise l’application Fabric Platform CMK pour accéder à votre Azure Key Vault. Pour que l’application fonctionne, un principal de service doit être créé pour le client. Ce processus est effectué par un utilisateur disposant de privilèges Microsoft Entra ID, tels qu’un administrateur d’application Cloud.

Suivez les instructions de Créer une application d’entreprise à partir d’une application multilocataire dans Microsoft Entra ID pour créer un principal de service pour une application appelée Fabric Platform CMK avec l’application ID 61d6811f-7544-4e75-a1e6-1c59c0383311 dans votre locataire Microsoft Entra ID.

Étape 3 : Configurer Azure Key Vault

Vous devez configurer votre Key Vault afin que Fabric puisse y accéder. Cette étape est effectuée par un utilisateur disposant de privilèges Key Vault, tels qu’un administrateur Key Vault. Pour plus d’informations, consultez les rôles Azure Security.

  1. Ouvrez le portail Azure et accédez à votre Key Vault. Si vous n'avez pas Key Vault, suivez les instructions de Créer un key vault à l'aide du portail Azure.

  2. Dans votre Key Vault, configurez les paramètres suivants :

  3. Dans votre Key Vault, ouvrez Access control (IAM).

  4. Dans la liste déroulante Ajouter , sélectionnez Ajouter une attribution de rôle.

  5. Sélectionnez l’onglet Membres , puis cliquez sur Sélectionner des membres.

  6. Dans le volet membres Select, recherchez Fabric Platform CMK

  7. Sélectionnez l’application Fabric Platform CMK puis Select.

  8. Sélectionnez l’onglet Role et recherchez Utilisateur de cryptage Key Vault ou un rôle qui active les autorisations get, wrapkey et unwrapkey.

  9. Sélectionnez Utilisateur de chiffrement du service Key Vault.

  10. Sélectionnez Vérifier + affecter , puis Vérifier + attribuer pour confirmer votre choix.

Étape 4 : Créer une clé Azure Key Vault

Pour créer une clé Azure Key Vault, suivez les instructions de Créer un coffre de clés à l’aide du portail Azure.

Key Vault conditions requises

Fabric ne prend en charge que les clés gérées par le client sans version , qui sont des clés au format pour les coffres-forts et pour le HSM Managé. Fabric vérifie quotidiennement le coffre-fort de clés pour obtenir une nouvelle version et utilise la dernière version disponible. Pour éviter d’avoir une période où vous ne pouvez pas accéder aux données dans l’espace de travail après la création d’une nouvelle clé, attendez 24 heures avant de désactiver l’ancienne version.

Key Vault et managed HSM doivent avoir la protection de suppression réversible et de vidage activée et la clé doit être de type RSA ou RSA-HSM. Les tailles de clé prises en charge sont les suivantes :

  • 2 048 bits
  • 3 072 bits
  • 4 096 bits

Pour plus d’informations sur les clés, consultez À propos des clés.

Note

Les clés 4 096 bits ne sont pas prises en charge pour la base de données SQL dans Microsoft Fabric.

Vous pouvez également utiliser Azure coffres de clés pour lesquels le paramètre firewall est activé. Lorsque vous désactivez l'accès public au Key Vault, vous pouvez choisir l'option « Autoriser les services de Microsoft approuvés à contourner ce pare-feu ».

Étape 5 : Activer le chiffrement à l’aide de clés gérées par le client

Une fois les prérequis terminés, suivez les étapes décrites dans cette section pour activer les clés gérées par le client dans votre espace de travail Fabric.

  1. Dans votre espace de travail Fabric, sélectionnez ParamètresWorkspace.

  2. Dans le volet Paramètres de l’espace de travail , sélectionnez Chiffrement.

  3. Activez Appliquer des clés gérées par le client.

  4. Dans le champ Identificateur de clé , entrez votre identificateur de clé géré par le client.

  5. Sélectionnez Appliquer.

Une fois ces étapes terminées, votre espace de travail est chiffré avec une clé gérée par le client. Cela signifie que toutes les données dans OneLake sont chiffrées et que les éléments existants et futurs de l’espace de travail sont chiffrés par la clé gérée par le client que vous avez utilisée pour l’installation. Vous pouvez passer en revue l’état de chiffrement Actif, En cours ou Échec dans l’onglet Chiffrement dans les paramètres de l’espace de travail. Les éléments pour lesquels le chiffrement est en cours ou qui ont échoué sont répertoriés par catégorie. La clé doit rester active dans le Key Vault pendant que le chiffrement est en cours (État : En cours). Actualisez la page pour afficher l’état du chiffrement le plus récent. Si le chiffrement a échoué pour certains éléments de l’espace de travail, vous pouvez réessayer à l’aide d’une autre clé.

Révoquer l’accès

Pour révoquer l'accès aux données d'un espace de travail chiffré à l'aide d'une clé gérée par le client, révoquez la clé dans le Azure Key Vault. Dans les 60 minutes suivant la révocation de la clé, la lecture et l’écriture des appels à l’espace de travail échouent.

Vous pouvez révoquer la clé de chiffrement gérée par le client en modifiant la stratégie d’accès, en modifiant les autorisations sur le coffre de clés ou en supprimant la clé.

Pour rétablir l’accès, restaurez l’accès à la clé gérée par le client dans le Key Vault.

Note

L'espace de travail ne revalide pas automatiquement la clé pour la base de données SQL dans Microsoft Fabric. Au lieu de cela, vous devez revalider manuellement la clé CMK pour restaurer l’accès.

Désactiver le chiffrement

Pour désactiver le chiffrement de l’espace de travail à l’aide d’une clé gérée par le client, accédez aux paramètres de l’espace de travail pour désactiver l’application des clés gérées par le client. L’espace de travail reste chiffré grâce aux clés gérées par Microsoft.

Note

Vous ne pouvez pas désactiver les clés gérées par le client pendant que le chiffrement pour l'un des éléments Fabric de votre espace de travail est en cours.

Supervision

Vous pouvez suivre les demandes de configuration de chiffrement pour vos espaces de travail Fabric en entrant le journal d’audit. Les noms d’opération suivants sont utilisés dans les journaux d’audit :

  • ApplyWorkspaceEncryption
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

Considérations et limitations

Avant de configurer votre espace de travail Fabric avec une clé gérée par le client, tenez compte des limitations suivantes :

  • Les données suivantes ne sont pas protégées par des clés gérées par le client :

    • Noms de colonnes de Lakehouse, format de table, compression de tableau.
    • Toutes les données stockées dans les clusters Spark (données stockées dans des disques temporaires dans le cadre d’un déploiement aléatoire ou de déversements de données ou de caches RDD dans une application Spark) ne sont pas protégées. Cela inclut tous les jobs Spark à partir de notebooks, de Lakehouses, de définitions de jobs Spark, des travaux de chargement et de maintenance des tables Lakehouse, de transformations de raccourcis, de l'actualisation de la vue matérialisée Fabric.
    • Journaux de tâches stockés dans un serveur d’historique
    • Les bibliothèques attachées dans le cadre d’environnements ou ajoutées dans le cadre de la personnalisation de session Spark à l’aide de commandes magiques ne sont pas protégées
    • Métadonnées générées lors de la création d’un travail de pipeline et de copie, telles que le nom de la base de données, la table, le schéma
    • Métadonnées du modèle ML et de l’expérience, telles que le nom du modèle, la version, les métriques
    • Requêtes d'entrepôt sur Object Explored et le cache back-end, qui est supprimé après chaque utilisation.

  • CMK est pris en charge pour tous les F SKU. Les capacités d’évaluation ne peuvent pas être utilisées pour le chiffrement à l’aide de CMK.

  • Vous pouvez activer CMK pour les espaces de travail hébergés dans les capacités BYOK. Les clés identiques ou distinctes peuvent être utilisées pour protéger les deux éléments d’un espace de travail compatible CMK et des modèles sémantiques résidant sur la capacité BYOK. (préversion)

  • CMK peut être activé à l'aide du portail Fabric et ne prend pas en charge les API.

  • CmK peut être activé et désactivé pour l’espace de travail pendant que le paramètre de chiffrement au niveau du locataire est activé. Une fois que le paramètre de locataire est désactivé, vous ne pouvez plus activer CMK pour les espaces de travail de ce locataire ou désactiver CMK pour les espaces de travail qui ont déjà activé CMK dans ce locataire. Les données des espaces de travail qui ont activé CMK avant que le paramètre du locataire n’ait été désactivé restent chiffrées avec la clé gérée par le client. Conservez la clé associée active pour pouvoir désencapsuler les données dans cet espace de travail.

Contenu connexe

  • Last updated on