Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Microsoft Fabric mengenkripsi semua data tidak aktif menggunakan kunci terkelola Microsoft. Dengan kunci yang dikelola pelanggan untuk ruang kerja Fabric, Anda dapat menggunakan kunci Azure Key Vault untuk menambahkan lapisan perlindungan lain ke data di ruang kerja Microsoft Fabric Anda. Kunci yang dikelola pelanggan memberikan fleksibilitas yang lebih besar, memungkinkan Anda mengelola rotasi, akses kontrol, dan audit penggunaannya. Ini juga membantu organisasi memenuhi kebutuhan tata kelola data dan mematuhi standar perlindungan dan enkripsi data.
Semua penyimpanan data Fabric dienkripsi saat tidak aktif dengan kunci yang dikelola Microsoft. Kunci yang dikelola pelanggan menggunakan enkripsi amplop, di mana Kunci untuk Mengenkripsi Kunci (KEK) digunakan untuk mengenkripsi Kunci Enkripsi Data (DEK). Saat menggunakan kunci yang dikelola pelanggan, DEK yang dikelola oleh Microsoft mengenkripsi data Anda, dan kemudian DEK tersebut dienkripsi menggunakan KEK yang dikelola pelanggan Anda. Penggunaan KEK yang tidak pernah meninggalkan Key Vault memungkinkan kunci enkripsi data itu sendiri dienkripsi dan dikontrol.
Penting
Fitur ini sedang dalam tahap pratinjau.
Prasyarat
Kunci yang dikelola oleh pelanggan untuk ruang kerja Fabric memerlukan penyiapan awal. Penyiapan ini termasuk mengaktifkan pengaturan penyewa enkripsi Fabric, mengonfigurasi Azure Key Vault, dan memberikan akses aplikasi FABRIC Platform CMK ke Azure Key Vault. Setelah penyiapan selesai, pengguna dengan peran ruang kerjaadmin dapat mengaktifkan fitur di ruang kerja.
Langkah 1: Aktifkan pengaturan tenant Fabric
Administrator Fabric perlu memastikan bahwa pengaturan Terapkan kunci yang dikelola pelanggan diaktifkan. Untuk informasi selengkapnya, lihat artikel Pengaturan enkripsi penyewa.
Langkah 2: Membuat Perwakilan Layanan untuk aplikasi Fabric Platform CMK
Fabric menggunakan aplikasi Fabric Platform CMK untuk mengakses Azure Key Vault Anda. Agar aplikasi berfungsi, perwakilan layanan harus dibuat untuk penyewa. Proses ini dilakukan oleh pengguna yang memiliki hak istimewa ID Microsoft Entra, seperti Administrator Aplikasi Cloud.
Ikuti instruksi dalam Membuat aplikasi perusahaan dari aplikasi multipenyewa di ID Microsoft Entra untuk membuat perwakilan layanan untuk aplikasi yang disebut Fabric Platform CMK di penyewa ID Microsoft Entra Anda.
Langkah 3: Mengonfigurasi Azure Key Vault
Anda perlu mengonfigurasi Key Vault sehingga Fabric dapat mengaksesnya. Langkah ini dilakukan oleh pengguna yang memiliki hak istimewa Key Vault, seperti Administrator Key Vault. Untuk informasi selengkapnya, lihat Peran Keamanan Azure.
Buka portal Microsoft Azure dan navigasikan ke Key Vault Anda. Jika Anda tidak memiliki Key Vault, ikuti instruksi di Membuat brankas kunci menggunakan portal Microsoft Azure.
Di Key Vault Anda, konfigurasikan pengaturan berikut:
- Penghapusan sementara - Diaktifkan
- Perlindungan Penghapusan - Diaktifkan
Di Key Vault Anda, buka Kontrol akses (IAM).
Dari menu dropdown Tambahkan , pilih Tambahkan Penetapan Peran.
Pilih tab Anggota lalu klik Pilih anggota.
Di panel Pilih anggota, cari Fabric Platform CMK
Pilih aplikasi Fabric Platform CMK lalu Pilih.
Pilih tab Peran dan cari Pengguna Enkripsi Layanan Kripto Key Vault atau peran yang memungkinkan izin get key, wrap key, dan unwrap key.
Pilih Pengguna Enkripsi Layanan Kripto Key Vault.
Pilih Tinjau + tetapkan lalu pilih Tinjau + tetapkan untuk mengonfirmasi pilihan Anda.
Langkah 4: Membuat kunci Azure Key Vault
Untuk membuat kunci Azure Key Vault, ikuti instruksi di Membuat brankas kunci menggunakan portal Microsoft Azure.
Persyaratan Key Vault
Fabric hanya mendukung kunci pelanggan yang dikelola tanpa versi, yang merupakan kunci dalam format https://{vault-name}.vault.azure.net/{key-type}/{key-name}. Fabric memeriksa brankas kunci setiap hari untuk versi baru, dan menggunakan versi terbaru yang tersedia. Untuk menghindari periode di mana Anda tidak dapat mengakses data di ruang kerja setelah kunci baru dibuat, tunggu 24 jam sebelum menonaktifkan versi yang lebih lama.
Kunci Anda harus berupa kunci RSA . Ukuran yang didukung adalah:
- 2.048 bit
- 3.072 bit
- 4.096 bit
Untuk informasi lebih lanjut, lihat Tentang kunci.
Mengaktifkan enkripsi menggunakan kunci yang dikelola pelanggan
Ikuti langkah-langkah di bagian ini untuk menggunakan kunci yang dikelola pelanggan di ruang kerja Fabric Anda.
Dari ruang kerja Fabric Anda, pilih Pengaturan ruang kerja.
Dari panel Pengaturan ruang kerja , pilih Enkripsi.
Aktifkan Terapkan kunci yang dikelola pelanggan.
Di bidang Pengidentifikasi kunci , masukkan pengidentifikasi kunci yang dikelola pelanggan Anda.
Pilih Terapkan.
Setelah Anda menyelesaikan langkah-langkah ini, ruang kerja Anda dienkripsi dengan kunci yang dikelola pelanggan. Ini berarti item yang ada dan yang akan datang di ruang kerja akan dienkripsi oleh kunci yang dikelola pelanggan yang Anda gunakan saat penyiapan. Anda dapat meninjau status enkripsi Aktif, Sedang berlangsung atau Gagal di tab Enkripsi di pengaturan ruang kerja. Item yang enkripsinya sedang berlangsung atau gagal juga tercantum secara kategoris. Kunci harus tetap aktif di Key Vault saat enkripsi sedang berlangsung (Status: Sedang berlangsung). Refresh halaman untuk melihat status enkripsi terbaru. Jika enkripsi gagal untuk beberapa item di ruang kerja, Anda dapat mencoba kembali menggunakan kunci yang berbeda.
Mencabut akses
Untuk mencabut akses ke data di ruang kerja yang dienkripsi menggunakan kunci yang dikelola pelanggan, cabut kunci di Azure Key Vault. Dalam waktu 60 menit sejak kunci dicabut, panggilan baca dan tulis ke ruang kerja gagal.
Anda dapat mencabut kunci enkripsi yang dikelola pelanggan dengan mengubah kebijakan akses, dengan mengubah izin pada brankas kunci, atau dengan menghapus kunci.
Untuk mengembalikan akses, pulihkan akses ke kunci yang dikelola pelanggan di Key Vault.
Menonaktifkan enkripsi
Untuk menonaktifkan enkripsi ruang kerja menggunakan kunci yang dikelola pelanggan, buka Pengaturan ruang kerja nonaktifkan Terapkan kunci yang dikelola pelanggan. Ruang kerja tetap dienkripsi menggunakan kunci Terkelola Microsoft.
Anda tidak dapat menonaktifkan kunci yang dikelola pelanggan saat enkripsi untuk salah satu item Fabric di ruang kerja Anda sedang berlangsung.
Enkripsi saat ini tersedia di wilayah yang dipilih dan hanya akan berfungsi untuk ruang kerja menggunakan kapasitas di wilayah tersebut.
Pertimbangan dan keterbatasan
Sebelum Mengonfigurasi ruang kerja Fabric dengan kunci yang dikelola pelanggan, pertimbangkan batasan berikut:
Kunci yang dikelola pelanggan saat ini didukung untuk item Fabric berikut:
- Lakehouse
- Lingkungan
- Definisi Pekerjaan Spark
- API untuk GraphQL
- ** Model Pembelajaran Mesin (ML)
- Percobaan
- Rangkaian Pemrosesan Data
- Aliran Data
- Solusi Industri
Fitur ini tidak dapat diaktifkan untuk ruang kerja yang berisi item yang tidak didukung.
Saat enkripsi kunci yang dikelola pelanggan untuk ruang kerja Fabric diaktifkan, hanya item yang didukung yang dapat dibuat di ruang kerja tersebut. Untuk menggunakan item yang tidak didukung, buat item tersebut di ruang kerja lain yang tidak mengaktifkan fitur ini.
Data yang tercantum di bawah ini tidak dilindungi dengan kunci yang dikelola pelanggan:
- Semua data yang disimpan di Kluster Spark (data yang disimpan dalam disk sementara sebagai bagian dari pengacakan, tumpahan data, atau cache RDD dalam aplikasi Spark) tidak dilindungi. Ini termasuk semua Pekerjaan Spark dari Notebooks, Lakehouses, Definisi Pekerjaan Spark, Pekerjaan Pemuatan dan Pemeliharaan Tabel Lakehouse, Transformasi Pintasan, dan Penyegaran Tampilan Materialisasi Fabric.
- Catatan pekerjaan yang disimpan dalam server riwayat
- Pustaka yang dilampirkan sebagai bagian dari lingkungan atau ditambahkan sebagai bagian dari penyesuaian sesi Spark menggunakan perintah ajaib tidak dilindungi
- Nama kolom Lakehouse, format tabel, kompresi tabel, titik akhir SQL
- Metadata yang dihasilkan saat membuat alur Data dan pekerjaan Salin, seperti nama DB, tabel, skema
- Metadata model dan eksperimen ML, seperti nama model, versi, metrik
CMK hanya didukung di wilayah berikut: AS Timur, Jerman Barat Tengah, AS Tengah Utara, Eropa Utara, AS Tengah Selatan, Asia Tenggara, UAE Utara, UK Selatan, Eropa Barat, dan AS Barat. Untuk menggunakan CMK, wilayah asal dan kapasitas Anda harus berada di wilayah yang didukung.
CMK didukung pada semua SKU F.
CMK dapat diaktifkan menggunakan portal Fabric dan tidak memiliki dukungan API.
CMK tidak didukung saat pengaturan firewall Azure Key Vault diaktifkan.
Pengaturan CMK dapat diaktifkan dan dinonaktifkan untuk ruang kerja ketika pengaturan enkripsi pada level tenant aktif. Setelah pengaturan penyewa dinonaktifkan, Anda tidak dapat lagi mengaktifkan CMK untuk ruang kerja di penyewa tersebut atau menonaktifkan CMK untuk ruang kerja yang sudah mengaktifkan CMK di penyewa tersebut. Data di ruang kerja yang mengaktifkan CMK sebelum pengaturan penyewa dinonaktifkan akan tetap dienkripsi dengan kunci yang dikelola pelanggan. Biarkan kunci terkait tetap aktif untuk dapat membongkar data di ruang kerja tersebut.