Del via

Kundestyrte nøkler for Fabric-arbeidsområder

Microsoft Fabric krypterer all data i hvile ved hjelp av Microsoft-administrerte nøkler. Med kundeadministrerte nøkler for Fabric arbeidsområder kan du bruke dine Azure Key Vault nøkler til å legge til et ekstra beskyttelseslag til dataene i dine Microsoft Fabric arbeidsområder – inkludert all data i OneLake. En kundeadministrert nøkkel gir større fleksibilitet, slik at du kan administrere rotasjon, kontrolltilgang og bruksovervåking. Det hjelper også organisasjoner med å oppfylle datastyringsbehov og overholde databeskyttelse og krypteringsstandarder.

Slik fungerer kundeadministrerte nøkler

Alle Fabric-datalagre krypteres i ro med nøkler administrert av Microsoft. Kundeadministrerte nøkler bruker konvoluttkryptering, der en nøkkelkrypteringsnøkkel (KEK) krypterer en datakrypteringsnøkkel (DEK). Når du bruker kundestyrte nøkler, krypterer Microsoft-administrerte DEK dataene dine, og deretter krypteres DEK med din kundestyrte KEK. Bruk av en KEK som aldri forlater Key Vault gjør det mulig å kryptere og kontrollere selve datakrypteringen. Dette sikrer at alt kundeinnhold i et CMK-aktivert arbeidsområde krypteres ved hjelp av kundeadministrerte nøkler.

Aktiver kryptering med kundeadministrerte nøkler for arbeidsområdet ditt

Administratorer for arbeidsområder kan konfigurere kryptering ved hjelp av CMK på arbeidsområdenivå. Når administratoren for arbeidsområdet aktiverer innstillingen i portalen, krypteres alt kundeinnhold som er lagret i arbeidsområdet, ved hjelp av den angitte CMK-en. CMK integreres med AKVs tilgangspolicyer og rollebasert tilgangskontroll (RBAC), noe som gir deg fleksibilitet til å definere detaljerte tillatelser basert på organisasjonens sikkerhetsmodell. Hvis du velger å deaktivere CMK-kryptering senere, går arbeidsområdet tilbake til å bruke Microsoft-administrerte nøkler. Du kan også tilbakekalle nøkkelen når som helst, og tilgangen til de krypterte dataene blokkeres innen en time etter tilbakekallingen. Med granularitet og kontroll på arbeidsområdenivå øker du sikkerheten til dataene dine i Fabric.

Støttede elementer

Kundestyrte nøkler støttes for øyeblikket for følgende Fabric-elementer:

  • Lakehouse
  • Lager
  • Notatblokk
  • Environment
  • Spark-jobbdefinisjon
  • API for GraphQL
  • ML-modell
  • Experiment
  • Pipeline
  • Dataflow
  • Bransjeløsninger
  • SQL Database
  • Eventhouse (forhåndsvisning)
  • Graf (forhåndsvisning)

Denne funksjonen kan ikke aktiveres for et arbeidsområde som inneholder elementer som ikke støttes. Når kundestyrt nøkkelkryptering for et Fabric-arbeidsområde er aktivert, kan kun støttede elementer opprettes i det arbeidsområdet. For å bruke ikke-støttede elementer, lag dem i et annet arbeidsområde som ikke har denne funksjonen aktivert.

Konfigurer kryptering med kundeadministrerte nøkler for arbeidsområdet

Kundestyrt nøkkel for Fabric-arbeidsområder krever en innledende oppsett. Dette oppsettet inkluderer aktivering av Fabric-krypteringsleietakerinnstillingen, konfigurasjon av Azure Key Vault, og å gi Fabric Platform CMK-appen tilgang til Azure Key Vault. Når oppsettet er fullført, kan en bruker med en administratorarbeidsområderolle aktivere funksjonen i arbeidsområdet.

Trinn 1: Aktiver Fabric-leietakerinnstillingen

En Fabric administrator må sørge for at innstillingen Apply customer-managed keys er aktivert. Hvis du vil ha mer informasjon, kan du se artikkelen om innstilling for krypteringsleietaker .

Trinn 2: Opprett en tjenesteprinsipp for Fabric Platform CMK-appen

Fabric bruker appen Fabric Platform CMK for å få tilgang til Azure Key Vault din. For at appen skal fungere, må det opprettes en tjenestekontohaver for leieren. Denne prosessen utføres av en bruker som har Microsoft Entra ID privilegier, som for eksempel en Cloud Application Administrator.

Følg instruksjonene i Opprett en bedriftsapplikasjon fra en multitenant-applikasjon i Microsoft Entra ID for å opprette en tjenesteprinsipp for en applikasjon kalt Fabric Platform CMK med app-ID 61d6811f-7544-4e75-a1e6-1c59c0383311 i din Microsoft Entra ID-leietaker.

Step 3: Configure Azure Key Vault

Du må konfigurere Key Vault slik at Fabric kan få tilgang til den. Dette steget utføres av en bruker som har Key Vault privilegier, som for eksempel en Key Vault Administrator. For mer informasjon, se Azure Security roller.

  1. Åpne Azure-portalen og naviger til din Key Vault. Hvis du ikke har Key Vault, følg instruksjonene i Lag en key vault ved å bruke Azure-portalen.

  2. I din Key Vault konfigurerer du følgende innstillinger:

  3. I din Key Vault, åpne Access control (IAM).

  4. Fra rullegardinmenyen Legg til velger du Legg til rolletilordning.

  5. Velg fanen Medlemmer , og klikk deretter på Velg medlemmer.

  6. I panelet Velg medlemmer, søk etter Fabric Platform CMK

  7. Velg appen Fabric Platform CMK og deretter Select.

  8. Velg fanen Rolle og søk etter Key Vault Crypto Service Encryption User eller en rolle som aktiverer get, wrapkey og unwrap key tillatelser.

  9. Velg Key Vault Crypto Service Encryption User.

  10. Velg Se gjennom + tilordne , og velg deretter Se gjennom + tilordne for å bekrefte valget ditt.

Step 4: Create an Azure Key Vault key

For å lage en Azure Key Vault nøkkel, følg instruksjonene i Opprett et nøkkelhvelv ved å bruke Azure-portalen.

Key Vault-krav

Fabric støtter kun versjonsløse kundestyrte nøkler, som er nøkler i formatet https://{vault-name}.vault.azure.net/{key-type}/{key-name} for hvelv og https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} for administrert HSM. Fabric sjekker nøkkelhvelvet daglig for en ny versjon, og bruker den nyeste tilgjengelige versjonen. Hvis du vil unngå å ha en periode der du ikke får tilgang til data i arbeidsområdet etter at en ny nøkkel er opprettet, må du vente 24 timer før du deaktiverer den eldre versjonen.

Key Vault og Managed HSM må ha både soft-delete- og purge-beskyttelse aktivert, og nøkkelen må være av RSA- eller RSA-HSM-typen. De støttede nøkkelstørrelsene er:

  • 2 048 biter
  • 3 072 biter
  • 4 096 biter

Hvis du vil ha mer informasjon, kan du se Om nøkler.

Note

4 096-bits nøkler støttes ikke for SQL-databaser i Microsoft Fabric.

Du kan også bruke Azure Key Vaults hvor brannmur-innstillingen er aktivert. Når du deaktiverer offentlig tilgang til Key Vault, kan du velge alternativet 'Tillat betrodde Microsoft Services å omgå denne brannmuren.'

Trinn 5: Aktivere kryptering ved hjelp av kundeadministrerte nøkler

Etter å ha fullført forutsetningene, følg trinnene i denne seksjonen for å aktivere kundestyrte nøkler i ditt Fabric-arbeidsområde.

  1. Fra ditt Fabric arbeidsområde, velg Arbeidsområdeinnstillinger.

  2. Fra Innstillinger for arbeidsområde velger du Kryptering.

  3. Aktiver Bruk kundeadministrerte nøkler.

  4. I feltet Nøkkelidentifikator angir du den kundeadministrerte nøkkelidentifikatoren.

  5. Velg Bruk.

Når du har fullført disse trinnene, krypteres arbeidsområdet med en kundeadministrert nøkkel. Dette betyr at all data i OneLake er kryptert, og at eksisterende og fremtidige elementer i arbeidsområdet krypteres med den kundestyrte nøkkelen du brukte til oppsettet. Du kan se gjennom krypteringsstatusen Aktiv, Pågår eller Mislyktes i krypteringsfanen i innstillingene for arbeidsområdet. Elementer som kryptering pågår eller mislykkes for, er også oppført kategorisk. Nøkkelen må forbli aktiv i Key Vault mens krypteringen pågår (Status: Pågår). Oppdater siden for å vise den nyeste krypteringsstatusen. Hvis kryptering mislyktes for enkelte elementer i arbeidsområdet, kan du prøve å bruke en annen nøkkel på nytt.

Tilbakekalle tilgang

For å tilbakekalle tilgang til data i et arbeidsområde som er kryptert med en kundestyrt nøkkel, tilbakekall nøkkelen i Azure Key Vault. Innen 60 minutter etter at nøkkelen tilbakekalles, mislykkes lese- og skriveanrop til arbeidsområdet.

Du kan tilbakekalle en kundeadministrert krypteringsnøkkel ved å endre tilgangspolicyen ved å endre tillatelsene i nøkkelhvelvet eller ved å slette nøkkelen.

For å gjenopprette tilgangen, gjenopprett tilgangen til den kundeadministrerede nøkkelen i Key Vault.

Note

Arbeidsområdet validerer ikke automatisk nøkkelen for SQL-databasen i Microsoft Fabric på nytt. I stedet må du manuelt validere CMK for å gjenopprette tilgangen.

Deaktivere krypteringen

Hvis du vil deaktivere kryptering av arbeidsområdet ved hjelp av en kundeadministrert nøkkel, kan du gå til Deaktivering av innstillingerfor arbeidsområde Bruk kundeadministrerte nøkler. Arbeidsområdet forblir kryptert med Microsoft Managed Keys.

Note

Du kan ikke deaktivere kundeadministrerte nøkler mens kryptering for noen av Fabric-elementene i arbeidsområdet ditt pågår.

Monitoring

Du kan spore krypteringskonfigurasjonsforespørsler for dine Fabric-arbeidsområder ved å følge revisjonsloggoppføringer. Følgende operasjonsnavn brukes i logger for sporing av endringer:

  • ApplyWorkspaceEncryption
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

Hensyn og begrensninger

Før du konfigurerer Fabric-arbeidsområdet ditt med en kundestyrt nøkkel, bør du vurdere følgende begrensninger:

  • Følgende data er ikke beskyttet med kundeadministrerede nøkler:

    • Lakehouse-kolonnenavn, tabellformat, tabellkomprimering.
    • All data lagret i Spark-klyngene (data lagret i midlertidige plater som en del av shuffle eller datautslipp eller RDD-cacher i en Spark-applikasjon) er ikke beskyttet. Dette inkluderer alle Spark-jobber fra notatbøker, innsjøhus, Spark-jobbdefinisjoner, Lakehouse Table Load og vedlikeholdsjobber, snarveistransformasjoner, Fabric Materialized View Refresh.
    • Jobbloggene som er lagret på loggserveren
    • Biblioteker som er festet som en del av miljøer eller lagt til som en del av Spark-sesjonstilpasningen med magiske kommandoer, er ikke beskyttet
    • Metadata som genereres når du oppretter en pipeline- og kopieringsjobb, for eksempel DB-navn, tabell, skjema
    • Metadata for ML-modell og eksperiment, for eksempel modellnavn, versjon, måledata
    • Lagerspørringer på objektutforsket og serverdelbuffer, som utestenges etter hver bruk

  • CMK støttes på alle F-SKU-er. Prøvekapasiteter kan ikke brukes til kryptering ved bruk av CMK.

  • Du kan aktivere CMK for arbeidsområder som hostes i BYOK-kapasiteter. Samme eller separate nøkler kan brukes til å beskytte begge elementene i et CMK-aktivert arbeidsområde og semantiske modeller som ligger på BYOK-kapasiteten. (forhåndsversjon)

  • CMK kan aktiveres via Fabric-portalen og har ikke API-støtte.

  • CMK kan aktiveres og deaktiveres for arbeidsområdet mens krypteringsinnstillingen på leiernivå er aktivert. Når leierinnstillingen er deaktivert, kan du ikke lenger aktivere CMK for arbeidsområder i denne leieren eller deaktivere CMK for arbeidsområder som allerede har CMK aktivert i denne leieren. Data i arbeidsområder som aktiverte CMK før leietakerinnstillingen ble slått av, forblir kryptert med den kundeadministrerte nøkkelen. Hold den tilknyttede nøkkelen aktiv for å kunne pakke ut data i arbeidsområdet.

Relatert innhold

  • Last updated on