Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:✅ Warehouse v Microsoft Fabric
Datový sklad Fabric ve výchozím nastavení šifruje všechna neaktivní uložená data a zajišťuje ochranu vašich informací prostřednictvím klíčů spravovaných Microsoftem.
Kromě toho můžete zlepšit stav zabezpečení pomocí klíčů spravovaných zákazníkem (CMK), abyste měli přímou kontrolu nad šifrovacími klíči, které chrání vaše data a metadata.
Když povolíte CMK pro pracovní prostor, který obsahuje datový sklad Fabric, jsou chráněna data OneLake i metadata skladu pomocí šifrovacích klíčů hostovaných ve službě Azure Key Vault. Pomocí klíčů spravovaných zákazníkem můžete pracovní prostor Fabric připojit přímo k vlastnímu Azure Key Vault. Udržujete úplnou kontrolu nad vytvářením klíčů, přístupem a obměnou, a zajišťujete dodržování zásad zabezpečení a správného řízení vaší organizace.
Pokud chcete začít konfigurovat CMK pro váš pracovní prostor Fabric, přečtěte si téma Klíče spravované zákazníkem pro pracovní prostory Fabric.
Jak funguje šifrování dat v Datovém skladu Fabric
Datový sklad Fabric se řídí vícevrstvým modelem šifrování, aby vaše data zůstala chráněná v klidovém stavu a přechodném použití.
Front-end SQL: Šifruje metadata (tabulky, zobrazení, funkce, uložené procedury).
Back-endový fond výpočetních prostředků: Používá dočasné mezipaměti; žádná data nezůstávají uložená.
OneLake: Všechna trvalá data se šifrují.
Šifrování front-endové vrstvy SQL
Pokud je pro pracovní prostor povolený CMK, Fabric Data Warehouse také používá váš zákaznický klíč k šifrování metadat, jako jsou definice tabulek, uložené procedury, funkce a informace o schématu.
Tím zajistíte, že se vaše data v metadatech OneLake i osobních dat ve skladu šifrují pomocí vašeho vlastního klíče.
Šifrování vrstvy back-endových výpočetních fondů
Prostředky výpočetního back-endu Fabric zpracovávají dotazy v dočasném, na mezipaměti založeném prostředí. V těchto mezipamětech nezůstávají žádná data v klidu. Vzhledem k tomu, že Fabric Warehouse po použití vyřadí veškerý obsah back-endové mezipaměti, přechodná data se nikdy nezachovávají po dobu životnosti relace.
Z důvodu jejich krátkodobé povahy jsou backendové cache šifrovány pouze pomocí klíčů spravovaných Microsoftem a nejsou šifrovány pomocí CMK kvůli výkonu. Back-endové mezipaměti se automaticky vymažou a znovu vygenerují jako součást normálních výpočetních operací.
Šifrování vrstvy OneLake
Všechna data uložená v Aplikaci OneLake se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem.
Pokud je CMK povolen, váš klíč spravovaný zákazníkem (uložený ve službě Azure Key Vault) se použije k šifrování šifrovacích klíčů dat (DEK), což poskytuje další úroveň ochrany. Máte kontrolu nad obměnou klíčů, zásadami přístupu a auditováním.
Důležité
V pracovních prostorech s podporou CMK se všechna data OneLake šifrují pomocí klíčů spravovaných zákazníkem.
Omezení
Před povolením CMK pro Fabric Data Warehouse přezkoumejte následující informace:
Zpoždění šíření klíčů: Při obměně, aktualizaci nebo nahrazení klíče ve službě Azure Key Vault může dojít ke zpoždění šíření před vrstvou SQL fabric. V určitých podmínkách může toto zpoždění trvat až 20 minut, než se připojení SQL znovu naváže s novým klíčem.
Ukládání do mezipaměti back-endu: Data zpracovaná back-endovým výpočetním fondem fabric nejsou šifrovaná pomocí klíče CMK v klidovém stavu kvůli krátkodobé povaze v paměti. Systém Fabric automaticky vyřadí uložená data z mezipaměti po každém použití.
Dostupnost služby během odvolání klíče: Pokud je klíč nedostupný nebo odvolán, operace čtení a zápisu v pracovním prostoru selžou, dokud se neobnoví přístup ke klíči.
Podpora DMV: Vzhledem k tomu, že konfigurace CMK je vytvořena a nakonfigurována na úrovni pracovního prostoru, nelze použít
sys.dm_database_encryption_keyske zobrazení stavu šifrování databáze; to se děje výhradně na úrovni pracovního prostoru.Omezení brány firewall: CMK není podporována, pokud je povolena brána firewall Azure Key Vault.
Dotazy v Průzkumníku objektů editoru dotazů na portálu Fabric nejsou šifrovány pomocí CMK.