Σημείωση
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να συνδεθείτε ή να αλλάξετε καταλόγους.
Η πρόσβαση σε αυτή τη σελίδα απαιτεί εξουσιοδότηση. Μπορείτε να δοκιμάσετε να αλλάξετε καταλόγους.
Ισχύει για:✅ Warehouse στο Microsoft Fabric
Το Fabric Data Warehouse κρυπτογραφεί όλα τα αδρανή δεδομένα από προεπιλογή, διασφαλίζοντας ότι οι πληροφορίες σας προστατεύονται μέσω κλειδιών που διαχειρίζεται η Microsoft.
Επιπλέον, μπορείτε να βελτιώσετε την κατάσταση ασφαλείας σας χρησιμοποιώντας κλειδιά διαχειριζόμενα από τον πελάτη (CMK), δίνοντάς σας άμεσο έλεγχο των κλειδιών κρυπτογράφησης που προστατεύουν τα δεδομένα και τα μετα-δεδομένα σας.
Όταν ενεργοποιείτε το CMK για έναν χώρο εργασίας που περιέχει μια αποθήκη δεδομένων Fabric, τόσο τα δεδομένα OneLake όσο και τα μετα-δεδομένα αποθήκης προστατεύονται χρησιμοποιώντας τα κλειδιά κρυπτογράφησης που φιλοξενούνται στο Azure Key Vault. Με τα κλειδιά που διαχειρίζονται οι πελάτες, μπορείτε να συνδέσετε τον χώρο εργασίας σας Fabric απευθείας στο δικό σας Azure Key Vault. Διατηρείτε τον πλήρη έλεγχο της δημιουργίας, της πρόσβασης και της εναλλαγής κλειδιών, διασφαλίζοντας τη συμμόρφωση με τις πολιτικές ασφάλειας και διακυβέρνησης του οργανισμού σας.
Για να ξεκινήσετε τη ρύθμιση παραμέτρων CMK για τον χώρο εργασίας Fabric, ανατρέξτε στο θέμα Κλειδιά διαχειριζόμενα από τον πελάτη για χώρους εργασίας Fabric.
Πώς λειτουργεί η κρυπτογράφηση δεδομένων στο Fabric Data Warehouse
Το Fabric Data Warehouse ακολουθεί ένα μοντέλο κρυπτογράφησης πολλαπλών επιπέδων για να διασφαλίσει ότι τα δεδομένα σας παραμένουν προστατευμένα σε κατάσταση ηρεμίας και παροδικά κατά τη χρήση.
Διεπαφή SQL: Κρυπτογραφεί τα μεταδεδομένα (πίνακες, προβολές, συναρτήσεις, αποθηκευμένες διαδικασίες).
Backend Compute Pool: Χρησιμοποιεί εφήμερες κρυφές μνήμες. Δεν αφήνονται δεδομένα σε ηρεμία.
Μία λίμνη: Όλα τα μόνιμα δεδομένα είναι κρυπτογραφημένα.
Κρυπτογράφηση επιπέδου διεπαφής SQL
Όταν το CMK είναι ενεργοποιημένο για τον χώρο εργασίας, το Fabric Data Warehouse χρησιμοποιεί επίσης το κλειδί που διαχειρίζεται ο πελάτης για την κρυπτογράφηση μετα-δεδομένων, όπως ορισμούς πινάκων, αποθηκευμένες διαδικασίες, συναρτήσεις και πληροφορίες σχήματος.
Αυτό διασφαλίζει ότι τόσο τα δεδομένα σας στο OneLake όσο και τα μεταδεδομένα που φέρουν προσωπικά δεδομένα στην αποθήκη είναι κρυπτογραφημένα με το δικό σας κλειδί.
Κρυπτογράφηση επιπέδου υπολογιστικής πισίνας υποστήριξης
Το υπολογιστικό backend του Fabric επεξεργάζεται ερωτήματα σε ένα εφήμερο περιβάλλον που βασίζεται σε cache. Κανένα δεδομένο δεν αφήνεται ποτέ σε ηρεμία σε αυτές τις κρυφές μνήμες. Επειδή το Fabric Warehouse καταργεί όλο το περιεχόμενο cache παρασκηνίου μετά τη χρήση, τα προσωρινά δεδομένα δεν παραμένουν ποτέ πέρα από τη διάρκεια ζωής της περιόδου λειτουργίας.
Λόγω της βραχύβιας φύσης τους, οι κρυφές μνήμες υποστήριξης κρυπτογραφούνται μόνο με κλειδιά που διαχειρίζεται η Microsoft και δεν υπόκεινται σε κρυπτογράφηση από CMK, για λόγους απόδοσης. Οι κρυφές μνήμες υποστήριξης διαγράφονται αυτόματα και αναδημιουργούνται ως μέρος των κανονικών υπολογιστικών λειτουργιών.
Κρυπτογράφηση επιπέδου OneLake
Όλα τα δεδομένα που είναι αποθηκευμένα στο OneLake κρυπτογραφούνται σε κατάσταση αδράνειας χρησιμοποιώντας κλειδιά που διαχειρίζεται η Microsoft από προεπιλογή.
Όταν είναι ενεργοποιημένο το CMK, το κλειδί που διαχειρίζεται ο πελάτης (αποθηκευμένο στο Azure Key Vault) χρησιμοποιείται για την κρυπτογράφηση των κλειδιών κρυπτογράφησης δεδομένων (DEK), παρέχοντας έναν πρόσθετο φάκελο προστασίας. Διατηρείτε τον έλεγχο της εναλλαγής κλειδιών, των πολιτικών πρόσβασης και του ελέγχου.
Σημαντικό
Σε χώρους εργασίας με δυνατότητα CMK, όλα τα δεδομένα OneLake κρυπτογραφούνται χρησιμοποιώντας τα κλειδιά που διαχειρίζονται οι πελάτες σας.
Περιορισμούς
Πριν ενεργοποιήσετε το CMK για την αποθήκη δεδομένων Fabric, εξετάστε τα ακόλουθα ζητήματα:
Καθυστέρηση μετάδοσης κλειδιού: Όταν ένα κλειδί περιστρέφεται, ενημερώνεται ή αντικαθίσταται στο Azure Key Vault, μπορεί να υπάρξει καθυστέρηση μετάδοσης πριν από το επίπεδο SQL του Fabric. Σε ορισμένες συνθήκες, αυτή η καθυστέρηση μπορεί να διαρκέσει έως και 20 λεπτά πριν αποκατασταθούν οι συνδέσεις SQL με το νέο κλειδί.
Προσωρινή αποθήκευση backend: Τα δεδομένα που υποβάλλονται σε επεξεργασία από το backend compute pool του Fabric δεν κρυπτογραφούνται με CMK σε κατάσταση αδράνειας λόγω της βραχύβιας φύσης τους στη μνήμη. Το Fabric καταργεί αυτόματα τα δεδομένα στο cache μετά από κάθε χρήση.
Διαθεσιμότητα υπηρεσίας κατά την ανάκληση κλειδιού: Εάν το CMK δεν είναι προσβάσιμο ή ανακληθεί, οι λειτουργίες ανάγνωσης και εγγραφής στον χώρο εργασίας αποτυγχάνουν μέχρι να αποκατασταθεί η πρόσβαση στο κλειδί.
Υποστήριξη DMV: Δεδομένου ότι η διαμόρφωση CMK έχει δημιουργηθεί και ρυθμιστεί σε επίπεδο χώρου εργασίας, δεν μπορείτε να χρησιμοποιήσετε
sys.dm_database_encryption_keysτο για να δείτε την κατάσταση κρυπτογράφησης της βάσης δεδομένων. αυτό συμβαίνει αποκλειστικά σε επίπεδο χώρου εργασίας.Περιορισμοί τείχους προστασίας: Το CMK δεν υποστηρίζεται όταν είναι ενεργοποιημένο το τείχος προστασίας Azure Key Vault.
Τα ερωτήματα στο πρόγραμμα επεξεργασίας ερωτημάτων πύλης Fabric Object Explorer δεν κρυπτογραφούνται με CMK.