Clés gérées par le client pour les espaces de travail Fabric

Nous avons identifié un problème avec le paramètre de niveau client pour la fonctionnalité de clés gérées par le client. Nous travaillons activement à le résoudre. En attendant, la fonctionnalité de clés gérées par le client n’est pas disponible pour une utilisation.

Microsoft Fabric chiffre toutes les données au repos à l’aide de clés gérées par Microsoft. Avec les clés gérées par le client pour les espaces de travail Fabric, vous pouvez utiliser vos clés Azure Key Vault pour ajouter une autre couche de protection aux données de vos espaces de travail Microsoft Fabric. Une clé gérée par le client offre une plus grande flexibilité, ce qui vous permet de gérer sa rotation, contrôler l’accès et l’audit de l’utilisation. Elle aide également les organisations à répondre aux besoins de gouvernance des données et à se conformer aux normes de protection et de chiffrement des données.

Tous les magasins de données Fabric sont chiffrés au repos avec des clés gérées par Microsoft. Les clés gérées par le client utilisent le chiffrement d’enveloppe, où une clé de chiffrement de clé (KEK) chiffre une clé de chiffrement de données (DEK). Lorsque vous utilisez des clés gérées par le client, microsoft managed DEK chiffre vos données, puis la clé DEK est chiffrée à l’aide de votre clé KEK gérée par le client. L’utilisation d’une clé KEK qui ne laisse jamais Key Vault permet aux clés de chiffrement de données elles-mêmes d’être chiffrées et contrôlées.

Important

Cette fonctionnalité est en version préliminaire.

Conditions préalables

La clé gérée par le client pour les espaces de travail Fabric nécessite une configuration initiale. Cette configuration inclut l’activation du paramètre de locataire de chiffrement Fabric, la configuration d’Azure Key Vault et l’octroi de l’accès de l’application CMK Fabric Platform à Azure Key Vault. Une fois l’installation terminée, un utilisateur disposant d’un rôle d’espace de travailadministrateur peut activer la fonctionnalité sur l’espace de travail.

Étape 1 : Activer le paramètre de locataire Fabric

Un administrateur Fabric doit s’assurer que le paramètre Appliquer les clés gérées par le client est activé. Pour plus d’informations, consultez l’article sur le paramètre de locataire de chiffrement .

Étape 2 : Créer un principal de service pour l’application CMK de la plateforme Fabric

Fabric utilise l’application CMK Fabric Platform pour accéder à votre coffre de clés Azure. Pour que l’application fonctionne, un principal de service doit être créé. Ce processus est effectué par un utilisateur disposant de privilèges d’ID Microsoft Entra, tels qu’un administrateur d’application cloud.

Suivez les instructions de création d’une application d’entreprise à partir d’une application mutualisée dans Microsoft Entra ID pour créer un principal de service pour une application appelée Fabric Platform CMK dans votre locataire Microsoft Entra ID.

Étape 3 : Configurer Azure Key Vault

Vous devez configurer votre coffre de clés afin que Fabric puisse y accéder. Cette étape est effectuée par un utilisateur disposant de privilèges Key Vault, tels qu’un administrateur Key Vault. Pour plus d’informations, consultez les rôles De sécurité Azure.

1. Ouvrez le portail Azure et accédez à votre coffre de clés. Si vous n’avez pas Key Vault, suivez les instructions fournies dans Créer un coffre de clés à l’aide du portail Azure.

2. Dans votre coffre de clés, configurez les paramètres suivants :

   • Suppression réversible - Activé
   • Protection contre le vidage - Activé

3. Dans votre coffre de clés, ouvrez le contrôle d’accès (IAM) .

4. Dans la liste déroulante Ajouter , sélectionnez Ajouter une attribution de rôle.

5. Sélectionnez l’onglet Membres , puis sélectionnez Sélectionner des membres.

6. Dans le volet Sélectionner des membres, recherchez fabric Platform CMK

7. Sélectionnez l’application CMK de la plateforme Fabric , puis sélectionnez.

8. Sélectionnez l’onglet Rôle et recherchez Key Vault Crypto Service Encryption User ou un rôle qui active les autorisations get, wrapkey et unwrap key.

9. Sélectionnez Key Vault Crypto Service Encryption User.

10. Sélectionnez Vérifier + affecter , puis Vérifier + attribuer pour confirmer votre choix.

Étape 4 : Créer une clé Azure Key Vault

Pour créer une clé Azure Key Vault, suivez les instructions fournies dans Créer un coffre de clés à l’aide du portail Azure.

Configuration requise pour Key Vault

Fabric prend uniquement en charge les clés gérées par le client sans version, qui sont des clés au https://{vault-name}.vault.azure.net/{key-type}/{key-name} format. Fabric vérifie quotidiennement le coffre de clés pour obtenir une nouvelle version et utilise la dernière version disponible. Pour éviter d’avoir une période où vous ne pouvez pas accéder aux données dans l’espace de travail après la création d’une nouvelle clé, attendez 24 heures avant de désactiver l’ancienne version.

Votre clé doit être une clé RSA . Les tailles prises en charge sont les suivantes :

• 2 048 bits
• 3 072 bits
• 4 096 bits

Pour plus d’informations sur les clés, consultez À propos des clés.

Activer le chiffrement à l’aide de clés gérées par le client

Suivez les étapes décrites dans cette section pour utiliser des clés gérées par le client dans votre espace de travail Fabric.

1. Dans votre espace de travail Fabric, sélectionnez Paramètres de l’espace de travail.

2. Dans le volet Paramètres de l’espace de travail , sélectionnez Chiffrement.

3. Activez Appliquer des clés gérées par le client.

4. Dans le champ Identificateur de clé , entrez votre identificateur de clé géré par le client.

5. Sélectionnez Appliquer.

Une fois ces étapes terminées, votre espace de travail est chiffré avec une clé gérée par le client. Cela signifie que les éléments existants et futurs de l’espace de travail seront chiffrés par la clé gérée par le client que vous avez utilisée pour l’installation. Vous pouvez passer en revue l’état de chiffrement Actif, En cours ou Échec dans l’onglet Chiffrement dans les paramètres de l’espace de travail. Les éléments pour lesquels le chiffrement est en cours ou qui ont échoué sont répertoriés par catégorie. La clé doit rester active dans le coffre de clés pendant que le chiffrement est en cours (État : En cours).

Révoquer l’accès

Pour révoquer l’accès aux données d’un espace de travail chiffré à l’aide d’une clé gérée par le client, révoquez la clé dans Azure Key Vault. Après 30 minutes à compter du moment où la clé est révoquée, les tentatives de lecture et d'écriture à l’espace de travail échouent.

Vous pouvez révoquer la clé de chiffrement gérée par le client en modifiant la stratégie d’accès, en modifiant les autorisations sur le coffre de clés ou en supprimant la clé.

Pour rétablir l’accès, restaurez l’accès à la clé gérée par le client dans le coffre de clés.

Désactiver le chiffrement

Pour désactiver le chiffrement de l’espace de travail à l’aide d’une clé gérée par le client, accédez aux paramètres de l’espace de travail pour désactiver l’application des clés gérées par le client. L’espace de travail reste chiffré à l’aide de clés managées Microsoft.

Vous ne pouvez pas désactiver les clés gérées par le client pendant que le chiffrement des éléments Fabric de votre espace de travail est en cours.

Le chiffrement est actuellement disponible dans des régions sélectionnées et fonctionne uniquement pour les espaces de travail utilisant des capacités dans ces régions.

Considérations et limitations

Avant de configurer votre espace de travail Fabric avec une clé gérée par le client, tenez compte des limitations suivantes :

• Les clés gérées par le client sont actuellement prises en charge pour les éléments Fabric suivants :

  • Lakehouse
  • Environnement
  • Définition de la tâche Spark
  • API pour GraphQL
  • Modèle ML
  • Expérience
  • Pipeline de données
  • Flux de données
  • Solutions sectorielles
  • Éléments mis en miroir

• Cette fonctionnalité ne peut pas être activée pour un espace de travail qui contient des éléments non pris en charge.

• Lorsque le chiffrement de clé géré par le client pour un espace de travail Fabric est activé, seuls les éléments pris en charge peuvent être créés dans cet espace de travail.

• Les données répertoriées ci-dessous ne sont pas protégées par des clés gérées par le client :

  • Noms de colonnes Lakehouse, format de table, compression de table, point de terminaison SQL
  • Données de permutation Spark et journaux d'événements Spark
  • Métadonnées générées lors de la création d’un pipeline de données, telles que le nom de base de données, la table, le schéma
  • Métadonnées du modèle ML et de l’expérience, telles que le nom du modèle, la version, les métriques

• CMK est uniquement pris en charge dans les régions suivantes : USA Est, Allemagne Centre Ouest, USA Centre Nord, Europe Nord, USA Centre Sud, Asie Sud-Est, Émirats Arabes Unis Nord, Royaume-Uni Sud, Europe Ouest et USA Ouest. Pour utiliser CMK, votre région d’origine et votre capacité doivent se trouver dans une région prise en charge.

• CMK est pris en charge pour tous les F SKU.

• CMK n’est pas pris en charge lorsque le paramètre de pare-feu Azure Key Vault est activé.

Contenu connexe

• Principes fondamentaux de la sécurité

• Licences Microsoft Fabric