Compartir vía


Protección de datos en Azure Stream Analytics

Azure Stream Analytics es una plataforma como servicio completamente administrada que permite crear canalizaciones de análisis en tiempo real. Todo el trabajo pesado, como el aprovisionamiento de clústeres, el escalado de nodos para ajustarse a su uso y la administración de los puntos de control internos, se administra en un segundo plano.

Recursos de datos privados que se almacenan

Azure Stream Analytics conserva los siguientes metadatos y datos para ejecutar los siguiente:

  • La definición de la consulta y su configuración relacionada.

  • Las funciones o elementos agregados que haya definido el usuario.

  • Los puntos de control que necesita el runtime de Stream Analytics.

  • Las instantáneas de los datos de referencia.

  • Los detalles de conexión de los recursos que use el trabajo de Stream Analytics.

Residencia de datos en la región

Azure Stream Analytics almacena los datos del cliente y otros metadatos descritos anteriormente. Azure Stream Analytics almacena los datos del cliente en una sola región de manera predeterminada, por lo que este servicio satisface automáticamente los requisitos de residencia de datos de la región, incluidos los especificados en el Centro de confianza. Asimismo, puede almacenar todos los recursos de datos (por ejemplo, datos de clientes y otros metadatos) relacionados con el trabajo de Stream Analytics en una sola región mediante su cifrado en una cuenta de almacenamiento de su elección.

Cifrado de los datos

Stream Analytics emplea automáticamente los mejores estándares de cifrado de su infraestructura para cifrar y proteger sus datos. Puede confiar en Stream Analytics para almacenar de forma segura todos sus datos, ya que no tiene que preocuparse de administrar la infraestructura.

Si desea usar claves administradas por el cliente para cifrar sus datos, puede usar su propia cuenta de almacenamiento (de uso general V1 o V2) para almacenar todos los recursos de datos privados que necesita el runtime de Stream Analytics. La cuenta de almacenamiento se puede cifrar tanto como sea necesario. La infraestructura de Stream Analytics no almacena ninguno de los recursos de datos privados.

Este valor se debe configurar en el momento en que se crea el trabajo de Stream Analytics y no se puede modificar a lo largo del ciclo de vida de este. No se recomienda modificar o eliminar el almacenamiento que usa Stream Analytics. Si elimina su cuenta de almacenamiento, eliminará todos los recursos de datos privados de forma permanentemente, lo que provocará un error en el trabajo.

Ni la actualización ni la rotación de claves de su cuenta de almacenamiento se pueden realizar mediante el portal de Stream Analytics. Las claves se pueden actualizar mediante las API REST. También puede conectarse a la cuenta de almacenamiento de trabajos mediante la autenticación de identidad administrada con Permitir servicios de confianza.

Si la cuenta de almacenamiento que quiere usar está en una instancia de Azure Virtual Network, debe usar el modo de autenticación de identidad administrada con Permitir servicios de confianza. Para más información, consulte Conexión de trabajos de Stream Analytics a recursos en una red virtual de Azure.

Configuración de una cuenta de almacenamiento para los datos privados

Cifre su cuenta de almacenamiento para proteger todos los datos y elija explícitamente la ubicación de los datos privados.

Siga estos pasos para configurar su cuenta de almacenamiento para recursos de datos privados. Esta configuración se realiza desde el trabajo de Stream Analytics, no desde su cuenta de almacenamiento.

  1. Inicie sesión en Azure Portal.

  2. Haga clic en Crear un recurso en la esquina superior izquierda de Azure Portal.

  3. Seleccione Analytics>Trabajo de Stream Analytics en la lista de resultados.

  4. Rellene la página del trabajo de Stream Analytics con los datos necesarios, como el nombre, la región y la escala.

  5. Active la casilla Secure all private data assets needed by this job in my Storage account (Proteger los recursos de datos privados que necesita este trabajo en mi cuenta de Storage).

  6. Seleccione una cuenta de almacenamiento en su suscripción. Este valor no se puede modificar a lo largo del ciclo de vida del trabajo. Tampoco puede agregar esta opción una vez creado el trabajo.

  7. Para autenticar mediante una cadena de conexión, seleccione cadena de conexión en la lista desplegable Modo de autenticación. La clave de la cuenta de almacenamiento se rellena automáticamente con su suscripción.

    Configuración de una cuenta de almacenamiento de datos privados

  8. Para autenticar mediante una identidad administrada, seleccione Identidad administrada en la lista desplegable Modo de autenticación. Si elige Identidad administrada, debe agregar el trabajo de Stream Analytics a la lista de control de acceso de la cuenta de almacenamiento con el rol Colaborador de datos de Storage Blob. Si no proporciona acceso al trabajo, el trabajo no puede realizar ninguna operación. Para más información sobre los roles, vaya a Asignación de un rol de Azure para el acceso a datos de blob.

    Configuración de una cuenta de almacenamiento de datos privados con autenticación de identidad administrada

Recursos de datos privados que almacena Stream Analytics

Todos aquellos datos privados que se deban conservar mediante Stream Analytics se almacenan en su cuenta de almacenamiento. Estos son algunos ejemplos de recursos de datos privados:

  • Las consultas que ha creado y sus configuraciones relacionadas.

  • Funciones definidas por el usuario

  • Los puntos de control que necesita el runtime de Stream Analytics.

  • Las instantáneas de los datos de referencia.

También se almacenan los detalles de conexión de los recursos, que usa el trabajo de Stream Analytics. Cifre su cuenta de almacenamiento para proteger todos los datos.

Habilitación de la residencia de datos

Puede usar esta característica para aplicar los requisitos de residencia de datos que pueda tener; para ello, proporcione una cuenta de almacenamiento en consecuencia.

Pasos siguientes