Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini akan menjelaskan:
- Enkripsi data yang tersimpan di ruang kerja Synapse Analytics.
- Konfigurasi ruang kerja Synapse untuk mengaktifkan enkripsi dengan kunci yang dikelola pelanggan.
- Mengelola kunci yang digunakan untuk mengenkripsi data di ruang kerja.
Enkripsi data yang tersimpan
Solusi Enkripsi Tidak Aktif lengkap memastikan data tidak pernah disimpan dalam bentuk tidak terenkripsi. Enkripsi ganda data di tempat mengurangi risiko dengan dua lapisan enkripsi yang terpisah untuk melindungi terhadap kompromi pada salah satu lapisan. Azure Synapse Analytics menawarkan enkripsi lapisan kedua untuk data di ruang kerja Anda dengan kunci yang dikelola pelanggan. Kunci ini dilindungi di Azure Key Vault, yang memungkinkan Anda mengambil alih kepemilikan manajemen dan rotasi kunci.
Lapisan pertama enkripsi untuk layanan Azure diaktifkan dengan kunci yang dikelola platform. Secara default, Disk Azure, dan data di akun Azure Storage secara otomatis dienkripsi saat tidak aktif. Pelajari selengkapnya tentang bagaimana enkripsi digunakan di Microsoft Azure dalam Ringkasan Enkripsi Azure.
Note
Beberapa item yang dianggap sebagai konten pelanggan, seperti nama tabel, nama objek, dan nama indeks, mungkin dikirimkan dalam file log untuk dukungan dan pemecahan masalah oleh Microsoft.
Enkripsi Azure Synapse
Bagian ini akan membantu Anda lebih memahami bagaimana enkripsi kunci yang dikelola pelanggan diaktifkan dan diterapkan di ruang kerja Synapse. Enkripsi ini menggunakan kunci yang sudah ada atau kunci baru yang dibuat di Azure Key Vault. Satu kunci digunakan untuk mengenkripsi semua data di ruang kerja. Ruang kerja Synapse mendukung kunci berukuran RSA 2048 dan 3072 byte, serta kunci RSA-HSM.
Note
Ruang kerja sinapsis tidak mendukung penggunaan kunci EC, EC-HSM, dan oct-HSM untuk enkripsi.
Data dalam komponen Synapse berikut dienkripsi dengan kunci yang dikelola pelanggan yang dikonfigurasi di tingkat ruang kerja:
- Kumpulan SQL
- Kumpulan SQL khusus
- Kumpulan SQL tanpa server
- Kelompok Data Explorer
- Kumpulan Apache Spark
- Azure Data Factory runtime integrasi, alur, himpunan data.
Konfigurasi enkripsi ruang kerja
Ruang kerja dapat dikonfigurasi untuk mengaktifkan enkripsi ganda dengan kunci yang dikelola pelanggan pada saat pembuatan ruang kerja. Aktifkan enkripsi ganda menggunakan kunci yang dikelola pelanggan pada {i>tab
Important
Pengaturan konfigurasi untuk enkripsi ganda tidak dapat diubah setelah ruang kerja dibuat.
Prasyarat: Rotasi Kunci dan Status Kumpulan SQL
Warning
Sebelum mengubah kunci enkripsi ruang kerja Anda:
- Pastikan semua kumpulan SQL khusus berada dalam status Online. Kumpulan offline tidak akan dienkripsi ulang dan tidak dapat dilanjutkan jika kunci lama atau versi kunci dihapus, dinonaktifkan, atau kedaluwarsa.
- Pertahankan semua kunci lama dan versi kunci yang digunakan untuk enkripsi sampai setiap kumpulan SQL dibawa online dan dienkripsi ulang dengan kunci baru. Hanya nonaktifkan atau hapus kunci lama setelah semua kumpulan kunci berhasil beralih ke kunci baru.
⚠️ Kegagalan untuk mengikuti prasyarat ini dapat mengakibatkan kumpulan SQL tidak dapat diakses secara permanen, atau data cadangan menjadi tidak dapat dipulihkan.
Daftar Periksa Rotasi Kunci
| Step | Action | Status |
|---|---|---|
| 1 | Pastikan semua kumpulan SQL sedang Online | ☐ |
| 2 | Pastikan kunci lama dipertahankan dan diaktifkan | ☐ |
| 3 | Putar CMK | ☐ |
| 4 | Verifikasi bahwa semua kumpulan dienkripsi ulang | ☐ |
| 5 | Nonaktifkan kunci lama atau versi kunci dengan aman (setelah semua kumpulan selesai) | ☐ |
Praktik terbaik manajemen utama
Important
Saat mengubah kunci enkripsi ruang kerja, pertahankan kunci lama hingga Anda menggantinya di ruang kerja dengan kunci baru. Ini memungkinkan dekripsi data dengan kunci lama sebelum dienkripsi ulang dengan kunci baru.
Status kumpulan SQL (Online/Offline) tidak memengaruhi proses rotasi kunci yang dikelola pelanggan ruang kerja (CMK), tetapi kumpulan offline akan tetap dienkripsi dengan kunci lama atau versi kunci.
Jika kunci lama atau versi kunci dinonaktifkan atau kedaluwarsa, kumpulan offline tidak akan dilanjutkan karena dekripsi tidak dimungkinkan. Setelah melanjutkan kumpulan ini, kunci lama atau versi kunci harus (1) diaktifkan dan (2) memiliki tanggal kedaluwarsa yang ditetapkan di masa mendatang untuk memungkinkan dekripsi dan enkripsi ulang berikutnya dengan kunci atau versi kunci baru.
Untuk memastikan rotasi CMK yang lancar, jika beberapa kumpulan SQL offline selama proses, kunci lama atau versi kunci harus tetap diaktifkan dan memiliki tanggal kedaluwarsa yang ditetapkan di masa mendatang. Ini sangat penting sampai kumpulan offline berhasil dibangkitkan kembali dan dienkripsi ulang dengan kunci atau versi kunci baru.
Jangan hapus kunci lama atau versi kunci hingga semua kumpulan dan cadangan berhasil dienkripsi ulang dan divalidasi. Hanya nonaktifkan kunci lama setelah semua persyaratan terpenuhi.
Pemecahan Masalah Pergantian Kunci
Jika kumpulan SQL terjebak offline setelah rotasi kunci:
Periksa versi kunci kumpulan SQL menggunakan PowerShell untuk mengonfirmasi kunci atau versi kunci mana yang diharapkan kumpulan:
Get-AzSqlServerTransparentDataEncryptionProtector -ServerName 'ContosoServer' -ResourceGroupName 'WORKSPACE_MANAGED_RESOURCE_GROUP'
Note
ResourceGroupName mengacu pada grup sumber daya terkelola dari ruang kerja. Anda dapat menemukan ini di portal Microsoft Azure dengan memilih ruang kerja Synapse Anda dan melihat managedResourceGroup nilai dalam tampilan JSON.
Aktifkan kunci lama atau versi kunci yang diperlukan di Azure Key Vault.
Tetapkan tanggal kedaluwarsa di masa mendatang untuk kunci lama atau versi kunci.
Lanjutkan kembali kumpulan SQL.
Setelah kumpulan kembali online, izinkan untuk mengenkripsi ulang dengan kunci baru.
Verifikasi status enkripsi setiap database dengan menjalankan kueri T-SQL berikut di kumpulan SQL Anda:
SELECT [name], [is_encrypted] FROM sys.databases;- Kolom
is_encryptedakan menampilkan status enkripsi (1= dienkripsi,0= tidak dienkripsi).
- Kolom
Setelah mengonfirmasi semua kumpulan dan cadangan dapat diakses dan dienkripsi, Anda dapat menonaktifkan (tidak menghapus) kunci lama atau versi kunci dengan aman.
Akses kunci dan aktivasi ruang kerja
Model enkripsi Azure Synapse dengan kunci yang dikelola pelanggan melibatkan ruang kerja yang mengakses kunci di Azure Key Vault untuk mengenkripsi dan mendekripsi sesuai kebutuhan. Kunci dapat diakses ke ruang kerja baik melalui kebijakan akses atau RBAC Azure Key Vault. Saat memberikan izin melalui kebijakan akses Azure Key Vault, pilih opsi “Hanya aplikasi” selama pembuatan kebijakan (pilih identitas terkelola ruang kerja dan jangan tambahkan sebagai aplikasi resmi).
Identitas yang dikelola ruang kerja harus diberikan izin yang diperlukan di brankas kunci sebelum ruang kerja dapat diaktifkan. Pendekatan bertahap untuk aktivasi ruang kerja ini memastikan bahwa data di ruang kerja dienkripsi dengan kunci yang dikelola pelanggan. Enkripsi dapat diaktifkan atau dinonaktifkan untuk Kumpulan SQL khusus individu. Setiap kumpulan khusus tidak diaktifkan untuk enkripsi secara default.
Menggunakan identitas terkelola yang ditetapkan pengguna
Ruang kerja dapat dikonfigurasi untuk menggunakan Identitas Terkelola yang Ditetapkan Pengguna untuk mengakses kunci yang dikelola pelanggan yang disimpan di Azure Key Vault. Konfigurasikan identitas Terkelola yang Ditetapkan pengguna untuk menghindari aktivasi bertahap ruang kerja Azure Synapse Anda saat menggunakan enkripsi ganda dengan kunci yang dikelola pelanggan. Peran bawaan Kontributor Identitas Terkelola diperlukan untuk menetapkan identitas terkelola yang ditetapkan pengguna ke ruang kerja Azure Synapse.
Note
Identitas Terkelola yang Ditetapkan pengguna tidak dapat dikonfigurasi untuk mengakses kunci yang dikelola pelanggan saat Azure Key Vault berada di belakang firewall.
Permissions
Untuk mengenkripsi atau mendekripsi data yang disimpan, identitas terkelola harus memiliki izin berikut. Demikian pula, jika Anda menggunakan templat Resource Manager untuk membuat kunci baru, parameter 'keyOps' templat harus memiliki izin berikut:
- WrapKey (untuk memasukkan kunci ke dalam Key Vault saat membuat kunci baru).
- UnwrapKey (untuk mendapatkan kunci dekripsi).
- Get (untuk membaca bagian publik dari sebuah kunci)
Aktivasi ruang kerja
Jika Anda tidak mengonfigurasi identitas terkelola yang ditetapkan pengguna untuk mengakses kunci yang dikelola pelanggan selama pembuatan ruang kerja, ruang kerja Anda akan tetap dalam status "Tertunda" sampai aktivasi berhasil. Ruang kerja harus diaktifkan sebelum Anda dapat sepenuhnya menggunakan semua fungsi. Misalnya, Anda hanya dapat membuat kumpulan SQL khusus baru setelah aktivasi berhasil. Berikan akses identitas terkelola untuk ruang kerja ke brankas kunci dan pilih tautan aktivasi pada banner di portal Azure ruang kerja. Setelah aktivasi selesai dengan sukses, ruang kerja Anda siap digunakan dengan jaminan bahwa semua data di dalamnya dilindungi dengan kunci yang dikelola pelanggan. Seperti yang disebutkan sebelumnya, brankas kunci harus memiliki perlindungan penghapusan yang diaktifkan agar aktivasi berhasil.
Mengelola kunci yang dikelola oleh pelanggan untuk ruang kerja
Anda dapat mengubah kunci yang dikelola pelanggan yang digunakan untuk mengenkripsi data dari halaman Enkripsi di portal Azure. Selain itu, Anda dapat memilih kunci baru menggunakan pengidentifikasi kunci atau memilih dari Key Vault yang dapat Anda akses di wilayah yang sama dengan ruang kerja. Jika Anda memilih kunci di brankas kunci yang berbeda dari yang sebelumnya digunakan, berikan izin "Get", "Wrap", dan "Unwrap" kepada identitas yang dikelola oleh ruang kerja di brankas kunci baru. Ruang kerja akan memvalidasi aksesnya ke brankas kunci baru dan semua data di ruang kerja akan dienkripsi ulang dengan kunci baru.
Kebijakan Azure Key Vaults untuk rotasi kunci otomatis secara berkala, atau tindakan pada kunci dapat menghasilkan pembuatan versi kunci baru. Anda dapat memilih untuk mengenkripsi ulang semua data di ruang kerja dengan versi terbaru dari kunci aktif. Untuk mengenkripsi ulang, ubah kunci di portal Azure menjadi kunci sementara, lalu alihkan kembali ke kunci yang ingin Anda gunakan untuk enkripsi. Sebagai contoh, untuk memperbarui enkripsi data menggunakan versi terbaru dari kunci aktif Key1, ubah kunci yang dikelola pelanggan ruang kerja menjadi kunci sementara, Key2. Tunggu enkripsi dengan Key2 hingga selesai. Kemudian alihkan kembali kunci yang dikelola pelanggan di ruang kerja ke Key1 - data di ruang kerja akan dienkripsi ulang dengan versi terbaru dari Key1.
Note
Sebelum memutar kunci untuk ruang kerja Azure Synapse Analytics, pastikan hal berikut:
- Jika Azure Key Vault rotasi kunci otomatis diaktifkan, verifikasi bahwa versi kunci sebelumnya masih diaktifkan.
- Pastikan bahwa tanggal kedaluwarsa versi kunci sebelumnya diatur ke tanggal di masa depan.
- Catatan: Memperbarui tanggal kedaluwarsa mungkin memerlukan tindakan manual dalam Azure Key Vault.
Selama proses enkripsi ulang, Azure Synapse Analytics mungkin perlu mengakses data yang dienkripsi dengan versi kunci sebelumnya. Jika versi kunci tersebut dinonaktifkan atau kedaluwarsa, ruang kerja dapat memasuki status GAGAL.
Rotasi kunci adalah proses empat langkah:
- Verifikasi bahwa versi kunci sebelumnya diaktifkan dan tidak kedaluwarsa.
- Ubah kunci yang dikelola klien untuk ruang kerja dari kunci utama ke kunci sementara.
- Tunggu 15-30 menit hingga proses enkripsi ulang selesai.
- Ubah kembali kunci yang dikelola pelanggan ruang kerja ke kunci utama Anda (sekarang menggunakan versi kunci terbaru).
Note
Azure Synapse Analytics tidak mengenkripsi ulang data secara otomatis saat versi kunci baru dibuat. Untuk memastikan konsistensi di ruang kerja Anda, paksa enkripsi ulang data menggunakan proses yang dijelaskan di atas.
Enkripsi Data Transparan SQL dengan kunci yang dikelola layanan
Enkripsi Data Transparan SQL (TDE) tersedia untuk kolam SQL khusus di ruang kerja tidak diaktifkan untuk enkripsi ganda. Dalam jenis ruang kerja ini, kunci yang dikelola layanan digunakan untuk menyediakan enkripsi ganda pada data di kumpulan SQL khusus. TDE dengan kunci yang dikelola layanan dapat diaktifkan atau dinonaktifkan untuk kumpulan SQL khusus individu.
Cmdlet untuk Database SQL Azure dan Azure Synapse
Untuk mengonfigurasi TDE melalui PowerShell, Anda harus tersambung sebagai Pemilik Azure, Kontributor, atau Pengelola Keamanan SQL.
Gunakan cmdlet berikut untuk ruang kerja Azure Synapse.
| Cmdlet | Description |
|---|---|
| Set-AzSynapseSqlPoolTransparentDataEncryption | Mengaktifkan atau menonaktifkan enkripsi data transparan untuk kumpulan SQL. |
| Get-AzSynapseSqlPoolTransparentDataEncryption | Mendapatkan status enkripsi data transparan untuk kumpulan SQL. |
| New-AzSynapseWorkspaceKey | Menambahkan kunci Key Vault ke ruang kerja. |
| Get-AzSynapseWorkspaceKey | Mendapatkan kunci Key Vault untuk ruang kerja |
| Update-AzSynapseWorkspace | Mengatur pelindung enkripsi data transparan untuk ruang kerja. |
| Get-AzSynapseWorkspace | Mendapatkan pelindung enkripsi data transparan |
| Remove-AzSynapseWorkspaceKey | Menghapus kunci Key Vault dari ruang kerja. |