Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk:✅Database SQL di Microsoft Fabric
Microsoft Fabric mengenkripsi semua data yang disimpan menggunakan kunci yang dikelola oleh Microsoft. Database SQL menyimpan semua data di akun Azure Storage jarak jauh. Untuk mematuhi persyaratan enkripsi saat tidak aktif menggunakan kunci yang dikelola Microsoft, setiap akun Azure Storage yang digunakan oleh database SQL mengaktifkan enkripsi sisi layanan .
Dengan kunci yang dikelola pelanggan untuk ruang kerja Fabric, Anda dapat menggunakan kunci Azure Key Vault untuk menambahkan lapisan perlindungan lain ke data di ruang kerja Microsoft Fabric Anda, termasuk semua data dalam database SQL di Microsoft Fabric. Kunci yang dikelola pelanggan memberikan fleksibilitas yang lebih besar, memungkinkan Anda mengelola rotasi, akses kontrol, dan penggunaan auditnya. Kunci yang dikelola pelanggan juga membantu organisasi memenuhi kebutuhan tata kelola data dan mematuhi standar perlindungan dan enkripsi data.
- Saat Anda mengonfigurasi kunci yang dikelola pelanggan untuk ruang kerja di Microsoft Fabric, enkripsi data transparan diaktifkan secara otomatis untuk semua database SQL (dan
tempdb) di dalam ruang kerja tersebut menggunakan kunci yang dikelola pelanggan yang ditentukan. Proses ini mulus dan tidak memerlukan intervensi manual.- Meskipun proses enkripsi dimulai secara otomatis untuk semua database SQL yang ada, proses ini tidak seketika. Durasi tergantung pada ukuran setiap database SQL, dengan database SQL yang lebih besar membutuhkan lebih banyak waktu untuk menyelesaikan enkripsi.
- Setelah Anda mengonfigurasi kunci yang dikelola pelanggan, database SQL apa pun yang Anda buat di ruang kerja juga dienkripsi menggunakan kunci yang dikelola pelanggan.
- Jika Anda menghapus kunci yang dikelola pelanggan, dekripsi dimulai untuk semua database SQL di ruang kerja. Seperti enkripsi, dekripsi juga tergantung pada ukuran database SQL dan dapat memakan waktu untuk menyelesaikannya. Setelah didekripsi, database SQL kembali menggunakan kunci yang dikelola Microsoft untuk enkripsi.
Cara kerja enkripsi data transparan dalam database SQL di Microsoft Fabric
Enkripsi data transparan melakukan enkripsi dan dekripsi secara real-time terhadap database, cadangan terkait, dan file log transaksi dalam keadaan diam.
- Proses ini terjadi di tingkat halaman, yang berarti setiap halaman didekripsi saat dibaca ke dalam memori dan dienkripsi ulang sebelum ditulis kembali ke disk.
- Enkripsi data transparan mengamankan seluruh database menggunakan kunci simetris yang dikenal sebagai Kunci Enkripsi Database (DEK).
- Ketika database dimulai, mesin database SQL Server mendekripsi DEK dan menggunakannya untuk mengelola operasi enkripsi dan dekripsi.
- Pelindung enkripsi data transparan—khususnya, kunci yang dikelola pelanggan yang dikonfigurasi di tingkat ruang kerja—melindungi DEK.
Pencadangan dan pemulihan
Setelah database SQL dienkripsi dengan kunci yang dikelola pelanggan, cadangan yang baru dibuat juga dienkripsi dengan kunci yang sama.
Saat Anda mengubah kunci, cadangan lama database SQL tidak diperbarui untuk menggunakan kunci terbaru. Untuk memulihkan cadangan yang dienkripsi dengan kunci yang dikelola pelanggan, pastikan bahwa materi kunci tersedia di Azure Key Vault. Pertahankan semua versi lama kunci yang dikelola pelanggan di Azure Key Vault sehingga cadangan database SQL dapat dipulihkan.
Proses pemulihan database SQL selalu mematuhi pengaturan ruang kerja kunci yang dikelola pelanggan. Tabel berikut menguraikan berbagai skenario pemulihan berdasarkan pengaturan kunci yang dikelola pelanggan dan apakah cadangan dienkripsi.
| Cadangannya adalah... | Pengaturan ruang kerja kunci yang dikelola pelanggan | Status enkripsi setelah pemulihan |
|---|---|---|
| Tidak dienkripsi | Disabled | Database SQL tidak dienkripsi |
| Tidak dienkripsi | Diaktifkan | Database SQL dienkripsi dengan kunci yang dikelola pelanggan |
| Dienkripsi dengan kunci yang dikelola pelanggan | Disabled | Database SQL tidak dienkripsi |
| Dienkripsi dengan kunci yang dikelola pelanggan | Diaktifkan | Database SQL dienkripsi dengan kunci yang dikelola pelanggan |
| Dienkripsi dengan kunci yang dikelola pelanggan | Aktif tetapi kunci yang dikelola oleh pelanggan berbeda | Database SQL dienkripsi dengan kunci baru yang dikelola pelanggan |
Memverifikasi keberhasilan kunci yang dikelola pelanggan
Setelah Anda mengaktifkan enkripsi kunci yang dikelola pelanggan di ruang kerja, database yang ada dienkripsi. Database baru di ruang kerja juga dienkripsi saat kunci yang dikelola pelanggan diaktifkan. Untuk memverifikasi bahwa database Anda berhasil dienkripsi, jalankan kueri T-SQL berikut:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- Database dienkripsi jika
encryption_state_descbidang ditampilkanENCRYPTEDdenganASYMMETRIC_KEYsebagaiencryptor_type. - Jika statusnya adalah
ENCRYPTION_IN_PROGRESS,percent_completekolom menunjukkan kemajuan perubahan status enkripsi. Nilai ini adalah0jika tidak ada perubahan status yang sedang berlangsung. - Jika tidak dienkripsi, database tidak muncul di hasil
sys.dm_database_encryption_keyskueri .
Memecahkan masalah kunci yang dikelola pelanggan yang tidak dapat diakses
Saat Anda mengonfigurasi kunci yang dikelola pelanggan untuk ruang kerja di Microsoft Fabric, database SQL memerlukan akses berkelanjutan ke kunci agar tetap online. Jika database SQL kehilangan akses ke kunci di Azure Key Vault, dalam waktu hingga 10 menit database SQL mulai menolak semua koneksi dan mengubah statusnya menjadi Tidak Dapat Diakses. Pengguna menerima pesan kesalahan yang sesuai seperti "Database <database ID>.database.fabric.microsoft.com tidak dapat diakses karena kesalahan kritis Azure Key Vault."
- Jika akses kunci dipulihkan dalam waktu 30 menit, database SQL secara otomatis sembuh dalam satu jam ke depan.
- Jika akses kunci dipulihkan setelah lebih dari 30 menit, penyembuhan otomatis database SQL tidak dimungkinkan. Memulihkan database SQL memerlukan langkah tambahan dan dapat memakan waktu yang signifikan tergantung pada ukuran database SQL.
Gunakan langkah-langkah berikut untuk memvalidasi ulang kunci yang dikelola pelanggan:
- Di ruang kerja Anda, klik kanan database SQL atau pilih
...menu konteks. Pilih pengaturan. - Pilih Enkripsi.
- Untuk memvalidasi ulang kunci yang dikelola pelanggan, pilih Validasi ulang kunci yang dikelola pelanggan. Jika validasi ulang berhasil, memulihkan akses ke database SQL Anda dapat memakan waktu.
Nota
Saat Anda memvalidasi ulang kunci untuk satu database SQL, kunci secara otomatis divalidasi ulang untuk semua database SQL dalam ruang kerja Anda.
Keterbatasan
Batasan saat ini saat menggunakan kunci yang dikelola pelanggan untuk database SQL di Microsoft Fabric:
- Kunci 4.096-bit tidak didukung untuk database SQL di Microsoft Fabric. Panjang kunci yang didukung adalah 2.048 bit dan 3.072 bit.
- Kunci yang dikelola pelanggan harus berupa kunci asimetris RSA atau RSA-HSM.