Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :✅ Entrepôt dans Microsoft Fabric
Fabric Data Warehouse chiffre toutes les données au repos par défaut, ce qui garantit que vos informations sont protégées par le biais de clés gérées par Microsoft.
En outre, vous pouvez améliorer votre posture de sécurité à l’aide de clés gérées par le client (CMK), ce qui vous permet de contrôler directement les clés de chiffrement qui protègent vos données et métadonnées.
Lorsque vous activez CMK pour un espace de travail qui contient un entrepôt de données Fabric, les métadonnées de données OneLake et d’entrepôt sont protégées à l’aide de vos clés de chiffrement hébergées par Azure Key Vault. Avec les clés gérées par le client, vous pouvez connecter votre espace de travail Fabric directement à votre propre coffre de clés Azure. Vous conservez un contrôle total sur la création, l’accès et la rotation des clés, en garantissant la conformité aux stratégies de sécurité et de gouvernance de votre organisation.
Pour commencer à configurer CMK pour votre espace de travail Fabric, consultez les clés gérées par le client pour les espaces de travail Fabric.
Fonctionnement du chiffrement des données dans Fabric Data Warehouse
Fabric Data Warehouse suit un modèle de chiffrement multicouche pour vous assurer que vos données restent protégées au repos et temporaires en cours d’utilisation.
Serveur frontal SQL : Chiffre les métadonnées (tables, vues, fonctions, procédures stockées).
Pool de calcul principal : Utilise des caches éphémères ; aucune donnée n’est laissée au repos.
OneLake : Toutes les données persistantes sont chiffrées.
Chiffrement de la couche d'interface SQL
Lorsque CMK est activé pour l’espace de travail, Fabric Data Warehouse utilise également votre clé gérée par le client pour chiffrer les métadonnées telles que les définitions de table, les procédures stockées, les fonctions et les informations de schéma.
Cela garantit que vos données dans OneLake et les métadonnées de données personnelles de l’entrepôt sont chiffrées avec votre propre clé.
Chiffrement de couche de pool de calcul principal
Le serveur principal de calcul de Fabric traite les requêtes dans un environnement éphémère basé sur le cache. Aucune donnée n’est jamais laissée au repos dans ces caches. Étant donné que Fabric Warehouse supprime tout le contenu du cache principal après utilisation, les données temporaires ne sont jamais conservées au-delà de la durée de vie de la session.
En raison de leur nature de courte durée, les caches back-end sont uniquement chiffrés avec des clés gérées par Microsoft et ne sont pas soumis au chiffrement par CMK, pour des raisons de performances. Les caches back-end sont automatiquement effacés et régénérés dans le cadre des opérations de calcul normales.
Cryptage de la couche OneLake
Toutes les données stockées dans OneLake sont chiffrées au repos à l’aide de clés gérées par Microsoft par défaut.
Lorsque CMK est activé, votre clé gérée par le client (stockée dans Azure Key Vault) est utilisée pour chiffrer les clés de chiffrement de données (DEK) en fournissant une enveloppe supplémentaire de protection. Vous conservez le contrôle sur la rotation des clés, les stratégies d’accès et l’audit.
Important
Dans les espaces de travail compatibles CMK, toutes les données OneLake sont chiffrées à l’aide de vos clés gérées par le client.
Limites
Avant d’activer CMK pour votre entrepôt de données Fabric, passez en revue les considérations suivantes :
Délai de propagation de clé : lorsqu’une clé est pivotée, mise à jour ou remplacée dans Azure Key Vault, il peut y avoir un délai de propagation avant la couche SQL de Fabric. Dans certaines conditions, ce délai peut prendre jusqu’à 20 minutes avant que les connexions SQL ne soient rétablies avec la nouvelle clé.
Mise en cache du back-end : les données traitées par le pool de calcul back-end de Fabric ne sont pas chiffrées avec CMK au repos en raison de leur nature éphémère et en mémoire. Fabric supprime automatiquement les données mises en cache après chaque utilisation.
Disponibilité du service pendant la révocation de clé : si la clé CMK devient inaccessible ou révoquée, les opérations de lecture et d’écriture dans l’espace de travail échouent jusqu’à ce que l’accès à la clé soit restauré.
Prise en charge de DMV : étant donné que la configuration CMK est établie et configurée au niveau de l’espace de travail, vous ne pouvez pas utiliser
sys.dm_database_encryption_keyspour afficher l’état de chiffrement de la base de données ; cela se produit exclusivement au niveau de l’espace de travail.Restrictions de pare-feu : CMK n’est pas pris en charge lorsque le pare-feu Azure Key Vault est activé.
Les requêtes dans l’Explorateur d’objets de l’éditeur de requêtes du portail Fabric ne sont pas chiffrées avec CMK.