Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:✅ Raktár a Microsoft Fabricben
A Fabric Data Warehouse alapértelmezés szerint titkosítja az összes inaktív adatot, biztosítva, hogy az adatok a Microsoft által felügyelt kulcsokkal legyenek védve.
Emellett az ügyfél által felügyelt kulcsok (CMK) használatával javíthatja a biztonsági helyzetét, így közvetlenül szabályozhatja az adatokat és metaadatokat védő titkosítási kulcsokat.
Ha engedélyezi a CMK-t egy Fabric Data Warehouse-t tartalmazó munkaterületen, a OneLake-adatok és a raktár metaadatai az Azure Key Vault által üzemeltetett titkosítási kulcsokkal lesznek védve. Az ügyfél által felügyelt kulcsokkal közvetlenül csatlakoztathatja Fabric-munkaterületét a saját Azure Key Vaultjához. A kulcslétrehozás, a hozzáférés és a rotáció teljes körű vezérlése biztosítja a szervezet biztonsági és szabályozási szabályzatainak való megfelelést.
A CMK Fabric-munkaterülethez való konfigurálásának megkezdéséhez tekintse meg a Fabric-munkaterületek ügyfél által felügyelt kulcsait.
Az adattitkosítás működése a Fabric Data Warehouse-ban
A Fabric Data Warehouse egy többrétegű titkosítási modellt követ, amely biztosítja, hogy az adatok inaktív és átmeneti állapotban is védettek legyenek.
SQL Frontend: Metaadatokat (táblákat, nézeteket, függvényeket, tárolt eljárásokat) titkosít.
Háttérbeli számítási készlet: Rövid élettartamú gyorsítótárakat használ; nem maradnak inaktív adatok.
OneLake: Minden tárolt adat titkosítva van.
SQL előtérbeli rétegtitkosítás
Ha a CMK engedélyezve van a munkaterületen, a Fabric Data Warehouse az ügyfél által felügyelt kulccsal is titkosítja a metaadatokat, például a tábladefiníciókat, a tárolt eljárásokat, a függvényeket és a sémaadatokat.
Ez biztosítja, hogy a OneLake-ben tárolt adatok és a személyes adathordozó metaadatok is saját kulccsal legyenek titkosítva.
Háttérbeli számítási készlet rétegtitkosítása
A Fabric számítási háttérrendszere rövid élettartamú, gyorsítótáralapú környezetben dolgozza fel a lekérdezéseket. Ezekben a gyorsítótárakban soha nem maradnak inaktív adatok. Mivel a Fabric Warehouse használat után kizárja az összes háttér-gyorsítótár tartalmát, az átmeneti adatok soha nem maradnak meg a munkamenet élettartamán túl.
Rövid élettartamuk miatt a háttér-gyorsítótárak csak Microsoft által felügyelt kulcsokkal vannak titkosítva, és teljesítménybeli okokból a CMK által végzett titkosítást nem alkalmazzák rájuk. A háttér-gyorsítótárak automatikusan törlődnek és újragenerálódnak a normál számítási műveletek részeként.
OneLake rétegtitkosítás
A OneLake-ben tárolt összes adat alapértelmezés szerint a Microsoft által felügyelt kulcsokkal van titkosítva.
Ha a CMK engedélyezve van, az ügyfél által felügyelt (az Azure Key Vaultban tárolt) kulcs az adattitkosítási kulcsok (DEK-k) titkosítására szolgál, és további védelmi borítékot biztosít. Szabályozhatja a kulcsváltást, a hozzáférési szabályzatokat és a naplózást.
Fontos
A CMK-kompatibilis munkaterületeken minden OneLake-adat titkosítva van az ügyfél által kezelt kulcsokkal.
Korlátozások
Mielőtt engedélyezi a CMK-t a Fabric Data Warehouse-hoz, tekintse át a következő szempontokat:
Kulcspropagálás késleltetése: Ha egy kulcsot elforgat, frissít vagy lecserél az Azure Key Vaultban, a Fabric SQL-rétege előtt propagálási késleltetés is előfordulhat. Bizonyos körülmények között ez a késés akár 20 percet is igénybe vehet, mielőtt az SQL-kapcsolatok újra létrejönnek az új kulccsal.
Háttérbeli gyorsítótárolás: A Fabric háttérbeli számítási csoportja által feldolgozott adatok a rövid élettartamú, memóriában tárolt jellege miatt a CMK-val inaktív állapotban nem kerülnek titkosításra. A Fabric minden használat után automatikusan kiüríti a gyorsítótárazott adatokat.
Szolgáltatás rendelkezésre állása a kulcs visszavonása során: Ha a CMK elérhetetlenné vagy visszavonttá válik, a munkaterület olvasási és írási műveletei mindaddig sikertelenek lesznek, amíg vissza nem állítja a kulcshoz való hozzáférést.
DMV-támogatás: Mivel a CMK-konfiguráció a munkaterület szintjén lett létrehozva és konfigurálva, nem használhatja a
sys.dm_database_encryption_keysaz adatbázis titkosítási állapotának megtekintésére; ez kizárólag munkaterületi szinten történik.A Fabric portal lekérdezésszerkesztőjében lévő lekérdezések objektumkezelője nem titkosítva van CMK-val.