Verschlüsseln von Azure Data Factory mit vom Kunden verwalteten Schlüsseln

GILT FÜR: Azure Data Factory Azure Synapse Analytics

Tipp

Testen Sie Data Factory in Microsoft Fabric, eine All-in-One-Analyselösung für Unternehmen. Microsoft Fabric deckt alle Aufgaben ab, von der Datenverschiebung bis hin zu Data Science, Echtzeitanalysen, Business Intelligence und Berichterstellung. Erfahren Sie, wie Sie kostenlos eine neue Testversion starten!

Azure Data Factory verschlüsselt ruhende Daten (einschließlich Entitätsdefinitionen) und zwischengespeicherte Daten während der Ausführung von Vorgängen. Standardmäßig werden Daten mit einem zufällig generierten und von Microsoft verwalteten Schlüssel verschlüsselt, der Ihrer Data Factory eindeutig zugewiesen ist. Um zusätzliche Sicherheitsgarantien zu erhalten, können Sie jetzt Bring Your Own Key (BYOK) mit vom Kunden verwalteten Schlüsseln in Azure Data Factory aktivieren. Wenn Sie einen vom Kunden verwalteten Schlüssel (CMK) angeben, verwendet Data Factory sowohl den Werkssystemschlüssel als auch den CMK zum Verschlüsseln von Kundendaten. Wenn einer der Schlüssel fehlt, wird der Zugriff auf die Daten und auf die Data Factory verweigert.

Zum Speichern von kundenseitig verwalteten Schlüsseln ist Azure Key Vault erforderlich. Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder mit den Azure Key Vault-APIs Schlüssel generieren. Der Schlüsseltresor und Data Factory müssen sich im selben Microsoft Entra-Mandanten und in derselben Region befinden, aber sie können sich in verschiedenen Abonnements befinden. Weitere Informationen zum Azure-Schlüsseltresor finden Sie unter Was ist der Azure-Schlüsseltresor?

Informationen zu kundenseitig verwalteten Schlüsseln

Das folgende Diagramm zeigt, wie Data Factory Microsoft Entra ID und Azure Key Vault verwendet, um Anforderungen mit dem kundenseitig verwalteten Schlüssel zu senden:

In der folgenden Liste werden die nummerierten Schritte im Diagramm erläutert:

1. Ein Azure Key Vault-Administrator erteilt der verwalteten Identität, die der Data Factory zugeordnet ist, Berechtigungen für Verschlüsselungsschlüssel.
2. Ein Data Factory-Administrator aktiviert die Funktion für vom Kunden verwaltete Schlüssel in der Factory.
3. Data Factory verwendet die der Factory zugeordnete verwaltete Identität, um den Zugriff auf Azure Key Vault über Microsoft Entra ID zu authentifizieren.
4. Data Factory umschließt den Verschlüsselungsschlüssel der Factory mit dem Kundenschlüssel in Azure Key Vault.
5. Bei Lese-/Schreibvorgängen sendet Data Factory Anforderungen an Azure Key Vault, um die Umschließung für den Kontoverschlüsselungsschlüssel aufzuheben und so Verschlüsselungs- und Entschlüsselungsvorgänge durchzuführen.

Data Factory-Instanzen können auf zwei Arten mit einer Verschlüsselung mit kundenseitig verwalteten Schlüsseln versehen werden: im Zuge der Factoryerstellung im Azure-Portal oder nach der Factoryerstellung über die Data Factory-Benutzeroberfläche.

Voraussetzungen: Konfigurieren von Azure Key Vault und Generieren von Schlüsseln

Aktivieren des vorläufigen Löschens und des Bereinigungsschutzes für Azure Key Vault

Wenn Sie vom Kunden verwaltete Schlüssel mit Data Factory verwenden, müssen Sie für den Schlüsseltresor zwei Eigenschaften (Vorläufiges Löschen und Nicht Bereinigen) festlegen. Diese Eigenschaften können entweder mit PowerShell oder der Azure-Befehlszeilenschnittstelle (Azure CLI) für einen neuen oder vorhandenen Schlüsseltresor aktiviert werden. Informationen zum Aktivieren dieser Eigenschaften für einen bestehenden Key Vault finden Sie unter Azure Key Vault-Wiederherstellungsmanagement mit Soft-Delete und Löschungsschutz.

Wenn Sie im Azure-Portal eine neue Azure Key Vault-Instanz erstellen, können Sie Soft Delete und Do Not Purge wie folgt aktivieren:

Gewähren des Zugriffs auf Azure Key Vault durch Data Factory

Stellen Sie sicher, dass sich Azure Key Vault und Azure Data Factory im gleichen Microsoft Entra-Mandanten und in der gleichen Region befinden. Sie können entweder Zugriffsrichtlinien oder Zugriffssteuerungsberechtigungen verwenden:

1. Zugriffsrichtlinie – Wählen Sie in Ihrem Schlüsseltresor Zugriffsrichtlinien aus –>Zugriffsrichtlinie hinzufügen –> suchen Sie nach ihrer verwalteten Azure Data Factory-Identität, und erteilen Sie "Get", "Unwrap Key" und "Wrap Key" in der Dropdownliste "Geheime Berechtigungen".

2. Zugriffssteuerung – Ihre verwaltete Identität benötigt zwei Rollen in der Zugriffssteuerung: Key Vault Crypto Service Encryption User and Key Vault Secrets User. Wählen Sie im Schlüsseltresor Zugriffskontrolle (IAM) ->+ Hinzufügen ->Rollen-Zuordnung hinzufügen. Wählen Sie eine der Rollen und dann "Weiter" aus. Wählen Sie unter "Mitglieder" "Verwaltete Identität" und dann "Mitglieder auswählen" aus, und suchen Sie nach Ihrer verwalteten Azure Data Factory-Identität. Wählen Sie dann "Überprüfen+ Zuweisen" aus. Wiederholen Sie den Vorgang für die zweite Rolle.

• Wenn Sie im Anschluss an die Erstellung der Factory in der Benutzeroberfläche von Data Factory die Kunde-verwaltete Schlüsselverschlüsselung hinzufügen möchten, stellen Sie sicher, dass die Managed-Service-Identität (MSI) der Datenfabrik über die korrekten Berechtigungen für Key Vault verfügt.
• Wenn Sie während der Werkserstellungszeit im Azure-Portal die Verschlüsselung von vom Kunden verwalteten Schlüsseln hinzufügen möchten, stellen Sie sicher, dass die vom Benutzer zugewiesene verwaltete Identität (UA-MI) über die richtigen Berechtigungen für Key Vault verfügt.

Generieren oder Hochladen eines vom Kunden verwalteten Schlüssels in Azure Key Vault

Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern Oder man kann Schlüssel mithilfe der Azure Key Vault-APIs generieren. Für die Data Factory-Verschlüsselung werden nur RSA-Schlüssel unterstützt. RSA-HSM wird ebenfalls unterstützt. Weitere Informationen finden Sie im Artikel Informationen zu Schlüsseln, Geheimnissen und Zertifikaten.

Aktivieren von vom Kunden verwalteten Schlüsseln

Nach der Factoryerstellung über die Data Factory-Benutzeroberfläche

In diesem Abschnitt erfahren Sie Schritt für Schritt, wie Sie nach der Factoryerstellung eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln über die Data Factory-Benutzeroberfläche hinzufügen.

Hinweis

Ein vom Kunden verwalteter Schlüssel kann nur für eine leere Data Factory konfiguriert werden. Die Data Factory darf keine Ressourcen wie z. B. verknüpfte Dienste, Pipelines und Datenflüsse enthalten. Es wird empfohlen, den vom Kunden verwalteten Schlüssel direkt nach der Erstellung der Factory zu aktivieren.

Wichtig

Bei verwalteten Factorys mit aktiviertem virtuellem Netzwerk kann diese Vorgehensweise nicht verwendet werden. Berücksichtigen Sie die alternative Route, wenn Sie solche Fabriken verschlüsseln möchten.

1. Stellen Sie sicher, dass die verwaltete Dienstidentität (Managed Service Identity, MSI) der Data Factory-Instanz über die Berechtigungen Abrufen, Schlüssel entpacken und Schlüssel packen für Key Vault verfügt.

2. Stellen Sie sicher, dass die Data Factory leer ist. Die Data Factory-Instanz darf keine Ressourcen wie verknüpfte Dienste, Pipelines oder Datenflüsse enthalten. Derzeit führt das Bereitstellen eines vom Kunden verwalteten Schlüssels in einer nicht leeren Factory zu einem Fehler.

3. Um den Schlüssel-URI im Azure-Portal zu ermitteln, navigieren Sie zu Azure Key Vault, und wählen Sie die Einstellung „Schlüssel“ aus. Wählen Sie den gewünschten Schlüssel aus und wählen Sie dann den Schlüssel, um dessen Versionen anzuzeigen. Wählen Sie eine Schlüsselversion aus, um die Einstellungen anzuzeigen.

4. Kopieren Sie den Wert des Felds "Schlüsselbezeichner", das den URI bereitstellt.

5. Starten Sie das Azure Data Factory-Portal, und wechseln Sie über die Navigationsleiste auf der linken Seite zum Data Factory-Verwaltungsportal.

6. Wählen Sie das Symbol " Vom Kunden verwalteter Schlüssel "

7. Geben Sie den zuvor kopierten URI für den vom Kunden verwalteten Schlüssel ein.

8. Wählen Sie "Speichern" aus, und die vom Kunden verwaltete Schlüsselverschlüsselung ist für Data Factory aktiviert.

Im Zuge der Factoryerstellung im Azure-Portal

In diesem Abschnitt erfahren Sie Schritt für Schritt, wie Sie während der Factorybereitstellung im Azure-Portal eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln hinzufügen.

Um die Factory verschlüsseln zu können, muss von Data Factory zuerst der kundenseitig verwaltete Schlüssel aus Key Vault abgerufen werden. Da die Factorybereitstellung noch nicht abgeschlossen ist, ist die verwaltete Dienstidentität (Managed Service Identity, MSI) noch nicht für die Authentifizierung bei Key Vault verfügbar. Der Kunde muss daher eine benutzerseitig zugewiesene verwaltete Identität (User-Assigned Managed Identity, UA-MI) zuweisen, um diese Vorgehensweise verwenden zu können. Wir übernehmen die in der benutzerseitig zugewiesenen verwalteten Identität definierten Rollen und führen die Authentifizierung bei Key Vault durch.

Weitere Informationen zur benutzerzugewiesenen verwalteten Identität finden Sie unter Verwaltete Identitätstypen und Rollenvergabe für benutzerzugewiesene verwaltete Identität.

1. Stellen Sie sicher, dass die benutzerseitig zugewiesene verwaltete Identität (User-Assigned Managed Identity, UA-MI) über die Berechtigungen Abrufen, Schlüssel entpacken und Schlüssel packen für Key Vault verfügt.

2. Aktivieren Sie auf der Registerkarte Erweitert das Kontrollkästchen Verschlüsselung mit einem vom Kunden verwalteten Schlüssel aktivieren.

3. Geben Sie die URL für den in Key Vault gespeicherten kundenseitig verwalteten Schlüssel an.

   Tipp

   Wenn Sie die Schlüsselversion nach dem endgültigen "/" (z. B.: https://mykeyvault.vault.azure.net/keys/cmk/) nicht in der URL übergeben, wird die Version immer auf den neuesten Standardwert festgelegt, wenn der Schlüssel in Zukunft aktualisiert wird.

   Derzeit wird dies nur über das Azure-Portal unterstützt.

4. Wählen Sie eine geeignete vom Benutzer zugewiesene verwaltete Identität aus, um sich bei Azure Key Vault zu authentifizieren.

5. Fahren Sie mit der Factorybereitstellung fort.

Aktualisieren der Schlüsselversion

Wenn Sie eine neue Version eines Schlüssels erstellen, aktualisieren Sie die Data Factory so, dass sie die neue Version verwendet:

1. Suchen Sie den URI für die neue Schlüsselversion über das Azure Key Vault-Portal:

   1. Navigieren Sie zu Azure Key Vault, und wählen Sie die Schlüsseleinstellung aus.
   2. Wählen Sie den gewünschten Schlüssel aus und wählen Sie dann den Schlüssel, um dessen Versionen anzuzeigen.
   3. Wählen Sie eine Schlüsselversion aus, um die Einstellungen anzuzeigen.

2. Kopieren Sie den Wert des Schlüsselbezeichnerfelds, das den URI bereitstellt.

3. Starten Sie das Azure Data Factory-Portal, und wählen Sie mit der Navigationsleiste auf der linken Seite das Data Factory-Verwaltungsportal aus.

4. Wählen Sie die Einstellung für vom Kunden verwaltete Schlüssel aus.

5. Geben Sie den URI für vom Kunden verwalteten Schlüssel ein, den Sie zuvor kopiert haben.

6. Wählen Sie "Speichern" aus, und "Data Factory" wird jetzt mit der neuen Schlüsselversion verschlüsselt.

Verwenden eines anderen Schlüssels

Um den für die Data Factory-Verschlüsselung verwendeten Schlüssel zu ändern, müssen Sie die Einstellungen in Azure Data Factory manuell aktualisieren:

1. Suchen Sie den URI für die neue Schlüsselversion über das Azure Key Vault-Portal:

   1. Navigieren Sie zu Azure Key Vault, und wählen Sie die Schlüsseleinstellung aus.
   2. Wählen Sie den gewünschten Schlüssel aus und wählen Sie dann den Schlüssel, um dessen Versionen anzuzeigen.
   3. Wählen Sie eine Schlüsselversion aus, um die Einstellungen anzuzeigen.

2. Kopieren Sie den Wert des Schlüsselbezeichnerfelds, das den URI bereitstellt.

3. Starten Sie das Azure Data Factory-Portal, und wählen Sie mit der Navigationsleiste auf der linken Seite das Data Factory-Verwaltungsportal aus.

4. Wählen Sie die Einstellung für vom Kunden verwaltete Schlüssel aus.

5. Geben Sie den URI für die zuvor kopierte Auswahl ein.

6. Wählen Sie "Speichern" aus, und "Data Factory" wird jetzt mit der neuen Schlüsselversion verschlüsselt.

Deaktivieren kundenseitig verwalteter Schlüssel

Nach der Aktivierung des Auswahlfeatures können Sie den zusätzlichen Sicherheitsschritt nicht entfernen. Zum Verschlüsseln der Factory und der Daten wird immer ein vom Kunden bereitgestellter Schlüssel erwartet.

Vom Kunden verwalteter Schlüssel und kontinuierliche Integration und kontinuierliche Bereitstellung

Standardmäßig ist die CMK-Konfiguration in der Vorlage Factory Azure Resource Manager (ARM) nicht enthalten. Zum Einschließen der vom Kunden verwalteten Schlüsselverschlüsselungseinstellungen in die ARM-Vorlage für die Continuous Integration (CI/CD):

1. Stellen Sie sicher, dass sich die Factory im Git-Modus befindet
2. Navigieren Sie im Verwaltungsportal zu dem Abschnitt für die vom Kunden verwalteten Schlüssel
3. Aktivieren Sie die Option in ARM-Vorlage einschließen.

Die folgenden Einstellungen werden zur ARM-Vorlage hinzugefügt. Diese Eigenschaften können in den Continuous Integration- und Delivery-Pipelines parametrisiert werden, indem die Parameterkonfiguration von Azure Resource Manager bearbeitet wird

Hinweis

Durch das Hinzufügen der Verschlüsselungseinstellung zu den ARM-Vorlagen wird eine Einstellung auf Factory-Ebene hinzugefügt, die andere Einstellungen auf Factory-Ebene, also z. B. git-Konfigurationen, in anderen Umgebungen überschreibt. Wenn Sie diese Einstellungen in einer erhöhten Umgebung wie UAT oder PROD aktiviert haben, beziehen Sie sich auf Globale Parameter in CI/CD.

Zugehöriger Inhalt

Arbeiten Sie die Tutorials durch, um zu erfahren, wie Sie Data Factory in anderen Szenarien verwenden können.