Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Gjelder for:✅SQL-database i Microsoft Fabric
Microsoft Fabric krypterer all data i ro ved hjelp av nøkler administrert av Microsoft. SQL-databasen lagrer all data i eksterne Azure Storage-kontoer. For å oppfylle kravene til kryptering i hvile ved bruk av Microsoft-administrerte nøkler, har hver Azure Storage-konto som brukes av SQL-databasen aktivert kryptering på tjenestesiden .
Med kundestyrte nøkler for Fabric-arbeidsområder kan du bruke Azure Key Vault-nøklene dine til å legge til et ekstra beskyttelseslag til dataene i Microsoft Fabric-arbeidsområdene dine, inkludert all data i SQL-databasen i Microsoft Fabric. En kundeadministrert nøkkel gir større fleksibilitet, slik at du kan administrere rotasjon, kontrollere tilgang og revisjonsbruk. Kundestyrte nøkler hjelper også organisasjoner med å møte behov for datastyring og overholde standarder for databeskyttelse og kryptering.
- Når du konfigurerer en kundestyrt nøkkel for et arbeidsområde i Microsoft Fabric, aktiveres transparent datakryptering automatisk for alle SQL-databaser (og
tempdb) i det arbeidsområdet ved bruk av den spesifiserte kundestyrte nøkkelen. Denne prosessen er sømløs og krever ingen manuell inngripen.- Selv om krypteringsprosessen starter automatisk for alle eksisterende SQL-databaser, er den ikke umiddelbar. Varigheten avhenger av størrelsen på hver SQL-database, hvor større SQL-databaser krever mer tid for å fullføre kryptering.
- Etter at du har konfigurert den kundestyrte nøkkelen, blir alle SQL-databaser du oppretter i arbeidsområdet også kryptert med den kundestyrte nøkkelen.
- Hvis du fjerner den kundestyrte nøkkelen, starter dekryptering for alle SQL-databaser i arbeidsområdet. Akkurat som kryptering, avhenger dekryptering også av størrelsen på SQL-databasen og kan ta tid å fullføre. Når de er dekryptert, går SQL-databasene tilbake til å bruke Microsoft-administrerte nøkler for kryptering.
Hvordan transparent datakryptering fungerer i SQL-databaser i Microsoft Fabric
Transparent datakryptering utfører sanntidskryptering og dekryptering av databasen, tilhørende sikkerhetskopier og transaksjonsloggfiler i ro.
- Denne prosessen skjer på sidenivå, noe som betyr at hver side dekrypteres når den leses inn i minnet og krypteres på nytt før den skrives tilbake til disken.
- Transparent datakryptering sikrer hele databasen ved hjelp av en symmetrisk nøkkel kjent som Database Encryption Key (DEK).
- Når databasen starter opp, dekrypterer SQL Server-databasemotoren DEK-en og bruker den til å administrere krypterings- og dekrypteringsoperasjoner.
- Den transparente datakrypteringsbeskytteren – spesielt den kundestyrte nøkkelen konfigurert på arbeidsområdenivå – beskytter DEK.
Sikkerhetskopiering og gjenoppretting
Når en SQL-database er kryptert med en kundestyrt nøkkel, blir også alle nylig genererte sikkerhetskopier kryptert med samme nøkkel.
Når du endrer nøkkelen, blir ikke gamle sikkerhetskopier av SQL-databasen oppdatert til å bruke den nyeste nøkkelen. For å gjenopprette en sikkerhetskopi kryptert med en kundeadministrert nøkkel, sørg for at nøkkelmaterialet er tilgjengelig i Azure Key Vault. Oppbevar alle gamle versjoner av kundeadministrerede nøkler i Azure Key Vault slik at SQL-databasesikkerhetskopier kan gjenopprettes.
Gjenopprettingsprosessen for SQL-databaser respekterer alltid innstillingen for nøkkelarbeidsområdet som administreres av kunden. Tabellen nedenfor viser ulike gjenopprettingsscenarier basert på kundeadministrerede nøkkelinnstillinger og om sikkerhetskopien er kryptert.
| Backupen er... | Kundestyrt nøkkelarbeidsplassinnstilling | Krypteringsstatus etter gjenoppretting |
|---|---|---|
| Ikke kryptert | Deaktivert | SQL-databasen er ikke kryptert |
| Ikke kryptert | Aktivert | SQL-databasen er kryptert med kundestyrt nøkkel |
| Kryptert med kundestyrt nøkkel | Deaktivert | SQL-databasen er ikke kryptert |
| Kryptert med kundestyrt nøkkel | Aktivert | SQL-databasen er kryptert med kundestyrt nøkkel |
| Kryptert med kundestyrt nøkkel | Aktivert, men annerledes kundestyrt nøkkel | SQL-databasen krypteres med den nye kundestyrte nøkkelen |
Verifiser vellykket kundeadministrert nøkkel
Når du aktiverer kundestyrt nøkkelkryptering i arbeidsområdet, blir den eksisterende databasen kryptert. En ny database i arbeidsområdet er også kryptert når den kundestyrte nøkkelen aktiveres. For å verifisere at databasen din er vellykket kryptert, kjør følgende T-SQL-spørring:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- En database er kryptert hvis
encryption_state_descfeltet visesENCRYPTEDmedASYMMETRIC_KEYsom .encryptor_type - Hvis tilstanden er
ENCRYPTION_IN_PROGRESS,percent_completeindikerer kolonnen fremdriften til endringen av krypteringstilstanden. Denne verdien gjelder0hvis ingen tilstandsendring pågår. - Hvis den ikke er kryptert, vises ikke en database i spørringsresultatene til
sys.dm_database_encryption_keys.
Feilsøk utilgjengelig, kundestyrt nøkkel
Når du konfigurerer en kundestyrt nøkkel for et arbeidsområde i Microsoft Fabric, krever SQL-databasen kontinuerlig tilgang til nøkkelen for å forbli online. Hvis SQL-databasen mister tilgangen til nøkkelen i Azure Key Vault, begynner SQL-databasen etter opptil 10 minutter å nekte alle tilkoblinger og endrer status til Utilgjengelig. Brukere mottar en tilsvarende feilmelding som «Databasen <database ID>.database.fabric.microsoft.com er ikke tilgjengelig på grunn av kritisk feil i Azure Key Vault.»
- Hvis nøkkeltilgangen gjenopprettes innen 30 minutter, helbredes SQL-databasen automatisk innen neste time.
- Hvis nøkkeltilgangen gjenopprettes etter mer enn 30 minutter, er automatisk helbredelse av SQL-databasen ikke mulig. Gjenoppretting av SQL-databasen krever ekstra steg og kan ta betydelig tid avhengig av størrelsen på SQL-databasen.
Bruk følgende steg for å validere den kundestyrte nøkkelen på nytt:
- I arbeidsområdet ditt, høyreklikk på SQL-databasen eller velg kontekstmenyen
.... Velg Innstillinger. - Velg Kryptering.
- For å revalidere den kundestyrte nøkkelen, velg Revalidere kundeadministrert nøkkel. Hvis revalideringen lykkes, kan det ta litt tid å gjenopprette tilgangen til SQL-databasen din.
Note
Når du validerer nøkkelen for én SQL-database, blir nøkkelen automatisk revalidert for alle SQL-databaser i arbeidsområdet ditt.
Limitations
Nåværende begrensninger ved bruk av kundestyrt nøkkel for en SQL-database i Microsoft Fabric:
- 4 096-bits nøkler støttes ikke for SQL-databaser i Microsoft Fabric. Støttede nøkkellengder er 2 048 biter og 3 072 biter.
- Den kundeadministrerede nøkkelen må være en RSA eller RSA-HSM asymmetrisk nøkkel.