Microsoft Fabricは、Microsoftマネージド キーを使用して保存されているすべてのデータを暗号化します。 Fabric ワークスペースのカスタマー マネージド キーを使用すると、Azure Key Vault キーを使用して、OneLake のすべてのデータを含む、Microsoft Fabric ワークスペース内のデータに別の保護レイヤーを追加できます。 カスタマー マネージド キーは柔軟性を高め、ローテーションの管理、アクセスの制御、使用状況の監査を行うことができます。 また、組織がデータ ガバナンスのニーズを満たし、データ保護と暗号化の標準に準拠するのにも役立ちます。
カスタマー マネージド キーのしくみ
すべてのFabricデータ ストアは、Microsoftマネージド キーを使用して保存時に暗号化されます。 カスタマー マネージド キーはエンベロープ暗号化を使用します。キー暗号化キー (KEK) はデータ暗号化キー (DEK) を暗号化します。 カスタマー マネージド キーを使用する場合、Microsoftマネージド DEK によってデータが暗号化され、DEK はカスタマー マネージド KEK を使用して暗号化されます。 Key Vaultを残さない KEK を使用すると、データ暗号化キー自体を暗号化および制御できます。 これにより、CMK 対応ワークスペース内のすべての顧客コンテンツがカスタマー マネージド キーを使用して暗号化されます。
ワークスペースのカスタマー マネージド キーによる暗号化を有効にする
ワークスペース管理者は、ワークスペース レベルで CMK を使用して暗号化を設定できます。 ワークスペース管理者がポータルで設定を有効にすると、そのワークスペースに格納されているすべての顧客コンテンツが、指定した CMK を使用して暗号化されます。 CMK は AKV のアクセス ポリシーとロールベースのアクセス制御 (RBAC) と統合されるため、組織のセキュリティ モデルに基づいて細かいアクセス許可を柔軟に定義できます。 後で CMK 暗号化を無効にすることを選択した場合、ワークスペースは Microsoft マネージド キーの使用に戻ります。 また、キーはいつでも取り消すことができます。また、暗号化されたデータへのアクセスは失効から 1 時間以内にブロックされます。 ワークスペース レベルの細分性と制御により、Fabric内のデータのセキュリティを高めます。
サポートされているアイテム
カスタマー マネージド キーは、現在、次のFabric項目でサポートされています。
- レイクハウス
- 倉庫
- Notebook
- 環境
- Spark ジョブ定義
- GraphQL 用 API
- ML モデル
- 実験
- パイプライン
- データフロー
- 業種別ソリューション
- SQL Database
- Eventhouse (プレビュー)
- グラフ (プレビュー)
この機能は、サポートされていない項目を含むワークスペースでは有効にできません。 Fabric ワークスペースのカスタマー マネージド キー暗号化が有効になっている場合は、そのワークスペースでサポートされている項目のみを作成できます。 サポートされていないアイテムを使用するには、この機能が有効になっていない別のワークスペースにアイテムを作成します。
ワークスペースのカスタマー マネージド キーを使用して暗号化を構成する
Fabric ワークスペースのカスタマー マネージド キーには、初期セットアップが必要です。 このセットアップには、Fabric暗号化テナント設定の有効化、Azure Key Vaultの構成、Azure Key Vaultへのアクセス権の付与Fabricプラットフォーム CMK アプリが含まれます。 セットアップが完了すると、 管理者ワークスペース ロール を持つユーザーがワークスペースで機能を有効にすることができます。
手順 1: Fabric テナント設定を有効にする
Fabric管理者は、Apply カスタマー マネージド キー設定が有効になっていることを確認する必要があります。 詳細については、 暗号化テナントの設定 に関する記事を参照してください。
手順 2: Fabric Platform CMK アプリのサービス プリンシパルを作成する
Fabricでは、Fabric Platform CMK アプリを使用してAzure Key Vaultにアクセスします。 アプリを機能させるには、テナントの サービス プリンシパル を作成する必要があります。 このプロセスは、Cloud アプリケーション管理者などのMicrosoft Entra ID特権を持つユーザーによって実行されます。
Microsoft Entra IDテナント内で、アプリケーションIDが61d6811f-7544-4e75-a1e6-1c59c0383311のFabric Platform CMKというアプリケーションのサービスプリンシパルを作成するために、Microsoft Entra IDのマルチテナントアプリケーションからエンタープライズアプリケーションを作成するの手順に従ってください。
手順 3: Azure Key Vaultを構成する
Fabricがアクセスできるように、Key Vaultを構成する必要があります。 この手順は、Key Vault Administrator などのKey Vault特権を持つユーザーによって実行されます。 詳細については、「Azure Security ロール」を参照してください。
Azure ポータルを開き、Key Vaultに移動します。 Key Vaultがない場合は、「Azure ポータルを使用してkey vaultを作成する」の手順に従ってください。
Key Vaultで、次の設定を構成します。
Key Vaultで、Access コントロール (IAM) を開きます。
[ 追加 ] ドロップダウンから、[ ロールの割り当ての追加] を選択します。
[ メンバー ] タブを選択し、[ メンバーの選択] をクリックします。
メンバーの選択ペイン で、Fabric Platform CMK Fabric Platform CMK アプリを選択し、Select を選択します。
Role タブを選択し、Key Vault Crypto Service Encryption User または get、wrapkey、unwrap key アクセス許可を有効にするロールを検索します。
Key Vault Crypto Service Encryption User を選択します。
[ 確認と割り当て ] を選択し、[ 確認と割り当て ] を選択して選択を確定します。
手順 4: Azure Key Vault キーを作成する
Azure Key Vault キーを作成するには、Azure ポータルを使用してキー コンテナーを作成するの手順に従います。
Key Vault要件
Fabricは、バージョンレス顧客管理キーのみをサポートします。これらは、コンテナーの場合はhttps://{vault-name}.vault.azure.net/{key-type}/{key-name}形式のキーであり、Managed HSMの場合はhttps://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name}形式のキーです。 Fabricは、新しいバージョンのキー コンテナーを毎日チェックし、使用可能な最新バージョンを使用します。 新しいキーが作成された後にワークスペース内のデータにアクセスできない期間が発生しないようにするには、24 時間待ってから古いバージョンを無効にします。
Key Vaultと Managed HSM では、論理的な削除と消去の両方の保護が有効になっている必要があり、キーは RSA または RSA-HSM の種類である必要があります。 サポートされているキー サイズは次のとおりです。
- 2,048 ビット
- 3,072 ビット
- 4,096 ビット
詳細については、キーについてのページを参照してください。
注
Microsoft Fabricの SQL データベースでは、4,096 ビット キーはサポートされていません。
ファイアウォール設定が有効になっている Azure Key Vault を使用することもできます。 Key Vaultへのパブリック アクセスを無効にすると、[信頼されたMicrosoft サービスにこのファイアウォールのバイパスを許可する] オプションを選択できます。
手順 5: カスタマー マネージド キーを使用して暗号化を有効にする
前提条件を完了したら、このセクションの手順に従って、Fabric ワークスペースでカスタマー マネージド キーを有効にします。
Fabric ワークスペースで、Workspace 設定 を選択>。
[ワークスペースの設定] ウィンドウで、[暗号化] を選択します。
カスタマー マネージド キーの適用を有効にします。
[ キー識別子 ] フィールドに、カスタマー マネージド キー識別子を入力します。
を選択してを適用します。
これらの手順を完了すると、ワークスペースはカスタマー マネージド キーで暗号化されます。 つまり、OneLake 内のすべてのデータが暗号化され、ワークスペース内の既存および将来の項目は、セットアップに使用したカスタマー マネージド キーによって暗号化されます。 ワークスペース設定の [暗号化] タブで、暗号化の状態 [アクティブ]、[進行中]、または [失敗] を確認できます。 暗号化が進行中または失敗した項目もカテゴリ別に一覧表示されます。 暗号化の進行中は、Key Vaultでキーをアクティブにしておく必要があります(状態: 進行中)。 ページを更新して、最新の暗号化状態を表示します。 ワークスペース内の一部の項目の暗号化に失敗した場合は、別のキーを使用して再試行できます。
アクセスの取り消し
カスタマー マネージド キーを使用して暗号化されたワークスペース内のデータへのアクセスを取り消すには、Azure Key Vaultのキーを取り消します。 キーが取り消された時点から 60 分以内に、ワークスペースへの読み取りと書き込みの呼び出しが失敗します。
アクセス ポリシーを変更する、キー コンテナーのアクセス許可を変更する、またはキーを削除することで、カスタマー マネージド暗号化キーを取り消すことができます。
アクセスを再開するには、Key Vaultのカスタマー マネージド キーへのアクセスを復元します。
注
ワークスペースは、Microsoft Fabricの SQL データベースのキーを自動的に再検証しません。 代わりに、アクセスを復元するために CMK を 手動で再検証 する必要があります。
暗号化を無効にする
カスタマー マネージド キーを使用したワークスペースの暗号化を無効にするには、[ ワークスペースの設定] で [ カスタマー マネージド キーの適用] を無効にします。 ワークスペースは、Microsoftマネージド キーを使用して暗号化されたままになります。
注
ワークスペース内のFabric項目の暗号化が進行中の間は、カスタマー マネージド キーを無効にすることはできません。
モニタリング
監査ログ エントリを使用して、Fabric ワークスペースの暗号化構成要求を追跡できます。 監査ログでは、次の操作名が使用されます。
- 作業スペース暗号化を適用する
- DisableWorkspaceEncryption
- GetWorkspaceEncryption
考慮事項と制限事項
カスタマー マネージド キーを使用して Fabric ワークスペースを構成する前に、次の制限事項を考慮してください。
次のデータは、カスタマー マネージド キーでは保護されません。
- Lakehouse 列名、テーブル形式、テーブル圧縮。
- Spark クラスターに格納されているすべてのデータ (シャッフルまたはデータ スピルの一部として一時ディスクに格納されたデータ、または Spark アプリケーションの RDD キャッシュ) は保護されません。 これには、ノートブック、Lakehouses、Spark ジョブ定義、Lakehouse テーブルロードおよびメンテナンスジョブ、ショートカットトランスフォーム、Fabric マテリアライズドビューのリフレッシュからのすべての Spark ジョブが含まれます。
- 履歴サーバーに格納されているジョブ ログ
- 環境の一部としてアタッチされたライブラリ、またはマジック コマンドを使用して Spark セッションのカスタマイズの一部として追加されたライブラリは保護されません
- パイプラインとコピー ジョブの作成時に生成されるメタデータ (DB 名、テーブル、スキーマなど)
- モデル名、バージョン、メトリックなど、ML モデルと実験のメタデータ
- Object Explored とバックエンド キャッシュに対するウェアハウス クエリ。各使用後に削除されます
CMK はすべての F SKU でサポートされています。 試用版容量は、CMK を使用した暗号化には使用できません。
BYOK 容量でホストされているワークスペースに対して CMK を有効にすることができます。 同じキーまたは個別のキーを使用して、CMK 対応ワークスペース内の項目と BYOK 容量に存在するセマンティック モデルの両方を保護できます。 (プレビュー)
Fabric ポータルを使用して CMK を有効にすることができ、API はサポートされていません。
テナント レベルの暗号化設定がオンになっている間は、ワークスペースに対して CMK を有効または無効にすることができます。 テナント設定がオフになると、そのテナント内のワークスペースに対して CMK を有効にしたり、そのテナントで既に CMK が有効になっているワークスペースに対して CMK を無効にしたりできなくなります。 テナント設定がオフになる前に CMK を有効にしたワークスペース内のデータは、カスタマー マネージド キーを使用して暗号化されたままになります。 関連付けられているキーをアクティブのままにして、そのワークスペース内のデータのラップを解除できます。