Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Diterapkan pada:✅ Gudang di Microsoft Fabric
Fabric Data Warehouse mengenkripsi semua data yang tersimpan secara default, memastikan bahwa informasi Anda dilindungi melalui kunci yang dikelola oleh Microsoft.
Selain itu, Anda dapat meningkatkan postur keamanan dengan menggunakan kunci yang dikelola pelanggan (CMK), memberi Anda kontrol langsung atas kunci enkripsi yang melindungi data dan metadata Anda.
Saat Anda mengaktifkan CMK untuk ruang kerja yang berisi Gudang Data Fabric, data OneLake dan metadata gudang dilindungi menggunakan kunci enkripsi yang dihosting Azure Key Vault Anda. Dengan kunci yang dikelola pelanggan, Anda dapat menghubungkan ruang kerja Fabric langsung ke Azure Key Vault Anda sendiri. Anda mempertahankan kontrol penuh atas pembuatan, akses, dan rotasi kunci, memastikan kepatuhan terhadap kebijakan keamanan dan tata kelola organisasi Anda.
Untuk mulai mengonfigurasi CMK untuk ruang kerja Fabric Anda, lihat Kunci yang dikelola pelanggan untuk ruang kerja Fabric.
Cara kerja enkripsi data di Fabric Data Warehouse
Fabric Data Warehouse mengikuti model enkripsi berlapis untuk memastikan data Anda tetap terlindungi saat tidak aktif dan sementara digunakan.
Frontend SQL: Mengenkripsi metadata (tabel, tampilan, fungsi, prosedur tersimpan).
Kumpulan Komputasi Backend: Menggunakan cache sementara; tidak ada data yang disimpan.
OneLake: Semua data yang bertahan dienkripsi.
Enkripsi lapisan front-end SQL
Ketika CMK diaktifkan untuk ruang kerja, Fabric Data Warehouse juga menggunakan kunci yang dikelola pelanggan Anda untuk mengenkripsi metadata seperti definisi tabel, prosedur tersimpan, fungsi, dan informasi skema.
Ini memastikan bahwa data Anda di OneLake dan metadata pembawa data pribadi di gudang dienkripsi dengan kunci Anda sendiri.
Enkripsi lapisan kumpulan komputasi backend
Backend komputasi Fabric memproses kueri di lingkungan berbasis cache yang bersifat ephemeral. Tidak ada data yang pernah dibiarkan tidak aktif dalam cache ini. Karena Fabric Warehouse mengeluarkan semua konten cache backend setelah digunakan, data sementara tidak pernah bertahan di luar masa pakai sesi.
Karena sifatnya yang berumur pendek, cache backend hanya dienkripsi dengan kunci yang dikelola Microsoft dan tidak tunduk pada enkripsi oleh CMK, karena alasan performa. Cache backend secara otomatis dihapus dan diregenerasi sebagai bagian dari operasi komputasi normal.
Enkripsi lapisan OneLake
Semua data yang disimpan di OneLake dienkripsi saat tidak aktif menggunakan kunci yang dikelola Microsoft secara default.
Saat CMK diaktifkan, kunci yang dikelola pelanggan Anda (disimpan di Azure Key Vault) digunakan untuk mengenkripsi kunci enkripsi data (DEK), memberikan amplop perlindungan tambahan. Anda mempertahankan kontrol atas rotasi kunci, kebijakan akses, dan audit.
Penting
Di ruang kerja dengan dukungan CMK, semua data OneLake dienkripsi menggunakan kunci yang dikelola pelanggan Anda.
Keterbatasan
Sebelum mengaktifkan CMK untuk Gudang Data Fabric Anda, tinjau pertimbangan berikut:
Penundaan penyebaran kunci: Saat kunci diputar, diperbarui, atau diganti di Azure Key Vault, mungkin ada penundaan penyebaran sebelum lapisan SQL Fabric. Dalam kondisi tertentu, penundaan ini dapat memakan waktu hingga 20 menit sebelum koneksi SQL dibuat kembali dengan kunci baru.
Caching Backend: Data yang diproses oleh kumpulan komputasi backend Fabric tidak dienkripsi dengan CMK saat tidak digunakan karena sifatnya yang bersifat sementara dan berada dalam memori. Fabric secara otomatis mengeluarkan data cache setelah setiap penggunaan.
Ketersediaan layanan selama pencabutan kunci: Jika CMK menjadi tidak dapat diakses atau dicabut, operasi baca dan tulis di ruang kerja gagal sampai akses ke kunci dipulihkan.
Dukungan DMV: Karena konfigurasi CMK dibuat dan dikonfigurasi pada tingkat ruang kerja, Anda tidak dapat menggunakan
sys.dm_database_encryption_keysuntuk melihat status enkripsi database; yang terjadi secara eksklusif di Tingkat Ruang Kerja.Pembatasan firewall: CMK tidak didukung saat firewall Azure Key Vault diaktifkan.
Kueri di editor kueri portal Fabric Object Explorer tidak dienkripsi dengan CMK.