Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:✅ Warehouse in Microsoft Fabric
Fabric Data Warehouse verschlüsselt standardmäßig alle ruhenden Daten, um sicherzustellen, dass Ihre Informationen über von Microsoft verwaltete Schlüssel geschützt sind.
Darüber hinaus können Sie Ihren Sicherheitsstatus verbessern, indem Sie vom Kunden verwaltete Schlüssel (CMK) verwenden, sodass Sie die direkten Kontrolle über die Verschlüsselungsschlüssel erhalten, die Ihre Daten und Metadaten schützen.
Wenn Sie CMK für einen Arbeitsbereich aktivieren, der ein Fabric Data Warehouse enthält, werden sowohl OneLake-Daten als auch Warehouse-Metadaten mit Ihren von Azure Key Vault gehosteten Verschlüsselungsschlüsseln geschützt. Mit vom Kunden verwalteten Schlüsseln können Sie Ihren Fabric-Arbeitsbereich direkt mit Ihrem eigenen Azure Key Vault verbinden. Sie behalten die vollständige Kontrolle über die Schlüsselerstellung, den Zugriff und die Rotation, um die Einhaltung der Sicherheits- und Verwaltungsrichtlinien Ihrer Organisation sicherzustellen.
Informationen zum Konfigurieren von CMK für Ihren Fabric-Arbeitsbereich finden Sie unter vom Kunden verwaltete Schlüssel für Fabric-Arbeitsbereiche.
Funktionsweise der Datenverschlüsselung in Fabric Data Warehouse
Fabric Data Warehouse folgt einem mehrschichtigen Verschlüsselungsmodell, um sicherzustellen, dass Ihre Daten im Ruhezustand geschützt und während der Verwendung temporär gesichert sind.
SQL Frontend: Verschlüsselt Metadaten (Tabellen, Ansichten, Funktionen, gespeicherte Prozeduren).
Back-End-Computepool: Verwendet kurzlebige Caches; ruhende Daten bleiben nicht übrig.
OneLake: Alle gespeicherten Daten werden verschlüsselt.
SQL-Front-End-Layerverschlüsselung
Wenn CMK für den Arbeitsbereich aktiviert ist, verwendet Fabric Data Warehouse auch Ihren vom Kunden verwalteten Schlüssel zum Verschlüsseln von Metadaten wie Tabellendefinitionen, gespeicherten Prozeduren, Funktionen und Schemainformationen.
Dadurch wird sichergestellt, dass sowohl Ihre Daten in OneLake als auch personenbezogene Metadaten im Lager mit Ihrem eigenen Schlüssel verschlüsselt werden.
Back-End-Computepool-Layerverschlüsselung
Das Compute-Back-End von Fabric verarbeitet Abfragen in einer ephemeren, cachebasierten Umgebung. In diesen Caches werden Daten nie dauerhaft gespeichert. Da Fabric Warehouse alle Back-End-Cacheinhalte nach der Verwendung ausräumt, bleiben vorübergehende Daten niemals über die Sitzungsdauer hinaus bestehen.
Aufgrund ihrer kurzlebigen Natur werden Back-End-Caches nur mit von Microsoft verwalteten Schlüsseln verschlüsselt und unterliegen aus Leistungsgründen nicht der Verschlüsselung durch CMK. Back-End-Caches werden automatisch gelöscht und im Rahmen normaler Computevorgänge neu generiert.
OneLake-Layerverschlüsselung
Alle in OneLake gespeicherten Daten werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt.
Wenn CMK aktiviert ist, wird Ihr vom Kunden verwalteter Schlüssel (in Azure Key Vault gespeichert) verwendet, um die Datenverschlüsselungsschlüssel (DATA Encryption Keys, DEKs) zu verschlüsseln und einen zusätzlichen Schutzumschlag bereitzustellen. Sie behalten die Kontrolle über die Schlüsselrotation, Zugriffsrichtlinien und Überwachung.
Von Bedeutung
In CMK-fähigen Arbeitsbereichen werden alle OneLake-Daten mit Ihren vom Kunden verwalteten Schlüsseln verschlüsselt.
Einschränkungen
Lesen Sie vor dem Aktivieren von CMK für Ihr Fabric Data Warehouse die folgenden Überlegungen:
Verzögerung der Schlüsselverteilung: Wenn ein Schlüssel im Azure Key Vault gedreht, aktualisiert oder ersetzt wird, kann es vor der SQL-Ebene von Fabric eine Verteilungsverzögerung geben. Unter bestimmten Bedingungen kann diese Verzögerung bis zu 20 Minuten dauern, bis SQL-Verbindungen mit dem neuen Schlüssel neu eingerichtet werden.
Back-End-Zwischenspeicherung: Daten, die vom Back-End-Computepool von Fabric verarbeitet werden, werden aufgrund ihrer kurzlebigen Speicherart nicht mit CMK im Ruhezustand verschlüsselt. Fabric entfernt automatisch zwischengespeicherte Daten nach jeder Verwendung.
Dienstverfügbarkeit während der Schlüsselsperrung: Wenn der CMK nicht zugänglich oder widerrufen wird, schlagen Lese- und Schreibvorgänge im Arbeitsbereich fehl, bis der Zugriff auf den Schlüssel wiederhergestellt wird.
DMV-Unterstützung: Da die CMK-Konfiguration auf Arbeitsbereichsebene eingerichtet und konfiguriert ist, können Sie den Verschlüsselungsstatus der Datenbank nicht mit Hilfe von
sys.dm_database_encryption_keysanzeigen, denn das geschieht ausschließlich auf der Arbeitsbereichsebene.Firewalleinschränkungen: CMK wird nicht unterstützt, wenn die Azure Key Vault-Firewall aktiviert ist.
Abfragen im Fabric-Portal im Abfrageeditor-Objekt-Explorer werden nicht mit CMK verschlüsselt.