Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Microsoft Fabric mengenkripsi semua data tidak aktif menggunakan kunci terkelola Microsoft. Dengan kunci yang dikelola pelanggan untuk ruang kerja Fabric, Anda dapat menggunakan kunci Azure Key Vault untuk menambahkan lapisan perlindungan lain ke data di ruang kerja Microsoft Fabric Anda - termasuk semua data di OneLake. Kunci yang dikelola pelanggan memberikan fleksibilitas yang lebih besar, memungkinkan Anda mengelola rotasi, akses kontrol, dan audit penggunaannya. Ini juga membantu organisasi memenuhi kebutuhan tata kelola data dan mematuhi standar perlindungan dan enkripsi data.
Cara kerja kunci yang dikelola oleh pelanggan
Semua penyimpanan data Fabric dienkripsi saat tidak aktif dengan kunci yang dikelola Microsoft. Kunci yang dikelola pelanggan menggunakan enkripsi amplop, di mana Kunci untuk Mengenkripsi Kunci (KEK) digunakan untuk mengenkripsi Kunci Enkripsi Data (DEK). Saat menggunakan kunci yang dikelola pelanggan, data Anda dienkripsi oleh DEK yang dikelola Microsoft, lalu DEK tersebut dienkripsi menggunakan KEK yang dikelola pelanggan Anda. Penggunaan KEK yang tidak pernah meninggalkan Key Vault memungkinkan kunci enkripsi data itu sendiri dienkripsi dan dikontrol. Ini memastikan bahwa semua konten pelanggan di ruang kerja yang diaktifkan CMK dienkripsi menggunakan kunci yang dikelola pelanggan Anda.
Mengaktifkan enkripsi dengan kunci yang dikelola pelanggan untuk ruang kerja Anda
Admin ruang kerja dapat menyiapkan enkripsi menggunakan CMK di tingkat ruang kerja. Setelah admin ruang kerja mengaktifkan pengaturan di portal, semua konten pelanggan yang disimpan di ruang kerja tersebut dienkripsi menggunakan CMK yang ditentukan. CMK terintegrasi dengan kebijakan akses AKV dan kontrol akses berbasis peran (RBAC), memungkinkan Anda fleksibilitas untuk menentukan izin terperinci berdasarkan model keamanan organisasi Anda. Jika Anda memilih untuk menonaktifkan enkripsi CMK nanti, ruang kerja akan kembali menggunakan kunci yang dikelola Microsoft. Anda juga dapat mencabut kunci kapan saja dan akses ke data terenkripsi diblokir dalam waktu satu jam setelah pencabutan. Dengan granularitas dan kontrol tingkat ruang kerja, Anda meningkatkan keamanan data Anda dalam Fabric.
Item yang didukung
Kunci yang dikelola pelanggan saat ini didukung untuk item Fabric berikut:
- Lakehouse
- Gudang
- Notebook
- Lingkungan
- Definisi Pekerjaan Spark
- API untuk GraphQL
- ** Model Pembelajaran Mesin (ML)
- Percobaan
- Pipeline
- Aliran Data
- Tugas penyalinan
- Solusi Industri
- SQL Database
- Eventhouse (pratinjau)
- Grafik (pratinjau)
Fitur ini tidak dapat diaktifkan untuk ruang kerja yang berisi item yang tidak didukung. Saat enkripsi kunci yang dikelola pelanggan untuk ruang kerja Fabric diaktifkan, hanya item yang didukung yang dapat dibuat di ruang kerja tersebut. Untuk menggunakan item yang tidak didukung, buat item tersebut di ruang kerja lain yang tidak mengaktifkan fitur ini.
Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan untuk ruang kerja Anda
Kunci yang dikelola pelanggan untuk ruang kerja Fabric memerlukan konfigurasi awal. Penyiapan ini termasuk mengaktifkan pengaturan penyewa enkripsi Fabric, mengonfigurasi Azure Key Vault, dan memberikan akses aplikasi CMK Platform Fabric ke Azure Key Vault. Setelah penyiapan selesai, pengguna dengan peran ruang kerjaadmin dapat mengaktifkan fitur di ruang kerja.
Langkah 1: Aktifkan pengaturan tenant Fabric
Administrator Fabric perlu memastikan bahwa pengaturan Aplikasi kunci yang dikelola pelanggan diaktifkan. Untuk informasi selengkapnya, lihat artikel Pengaturan enkripsi penyewa.
Langkah 2: Membuat Perwakilan Layanan untuk aplikasi CMK Platform Fabric
Fabric menggunakan aplikasi Fabric Platform CMK untuk mengakses Azure Key Vault Anda. Agar aplikasi berfungsi, perwakilan layanan harus dibuat untuk penyewa. Proses ini dilakukan oleh pengguna yang memiliki hak istimewa Microsoft Entra ID, seperti Cloud Application Administrator.
Ikuti instruksi di Buat aplikasi perusahaan dari aplikasi multipenyewa di Microsoft Entra ID untuk membuat perwakilan layanan untuk aplikasi yang disebut Fabric Platform CMK dengan ID aplikasi 61d6811f-7544-4e75-a1e6-1c59c0383311 di penyewa Microsoft Entra ID Anda.
Langkah 3: Mengonfigurasi Azure Key Vault
Anda perlu mengonfigurasi Key Vault sehingga Fabric dapat mengaksesnya. Langkah ini dilakukan oleh pengguna yang memiliki hak istimewa Key Vault, seperti Administrator Key Vault. Untuk informasi selengkapnya, lihat peran Azure Keamanan.
Buka portal Azure dan navigasikan ke Key Vault Anda. Jika Anda tidak memiliki Key Vault, ikuti instruksi di Buat key vault menggunakan portal Azure.
Di Key Vault Anda, konfigurasikan pengaturan berikut:
- Penghapusan sementara - Diaktifkan
- Perlindungan Penghapusan - Diaktifkan
Pada Key Vault Anda, buka Pengendalian Akses (IAM).
Dari menu dropdown Tambahkan , pilih Tambahkan Penetapan Peran.
Pilih tab Anggota lalu klik Pilih anggota.
Di panel Pilih anggota, cari Fabric Platform CMK
Pilih aplikasi Fabric Platform CMK lalu Pilih.
Pilih tab Role dan cari Key Vault Crypto Service Encryption User atau peran yang memungkinkan izin get, wrapkey, dan unwrap key.
Pilih Pengguna Enkripsi Layanan Key Vault Kripto.
Pilih Tinjau + tetapkan lalu pilih Tinjau + tetapkan untuk mengonfirmasi pilihan Anda.
Langkah 4: Membuat kunci Azure Key Vault
Untuk membuat kunci Azure Key Vault, ikuti instruksi di Buat brankas kunci menggunakan portal Azure.
Persyaratan Key Vault
Fabric hanya mendukung kunci yang dikelola pelanggan versionless, yang merupakan kunci dalam format https://{vault-name}.vault.azure.net/{key-type}/{key-name} untuk Vault dan https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} untuk HSM Terkelola. Fabric memeriksa brankas kunci setiap hari untuk versi baru, dan menggunakan versi terbaru yang tersedia. Untuk menghindari periode di mana Anda tidak dapat mengakses data di ruang kerja setelah kunci baru dibuat, tunggu 24 jam sebelum menonaktifkan versi yang lebih lama.
Key Vault dan HSM Terkelola harus mengaktifkan perlindungan penghapusan sementara dan penghapusan menyeluruh dan kuncinya harus berjenis RSA atau RSA-HSM. Ukuran kunci yang didukung adalah:
- 2.048 bit
- 3.072 bit
- 4.096 bit
Untuk informasi lebih lanjut, lihat Tentang kunci.
Nota
Kunci 4.096-bit tidak didukung untuk database SQL di Microsoft Fabric.
Anda juga dapat menggunakan Azure Key Vault yang pengaturan firewall diaktifkan. Saat menonaktifkan akses publik ke Key Vault, Anda dapat memilih opsi untuk 'Izinkan Layanan Microsoft Tepercaya melewati firewall ini.'
Langkah 5: Aktifkan enkripsi menggunakan kunci yang dikelola pelanggan
Setelah menyelesaikan prasyarat, ikuti langkah-langkah di bagian ini untuk mengaktifkan kunci yang dikelola pelanggan di ruang kerja Fabric Anda.
Dari ruang kerja Fabric Anda, pilih Pengatelan ruang kerja.
Dari panel Pengaturan ruang kerja , pilih Enkripsi.
Aktifkan Terapkan kunci yang dikelola pelanggan.
Di bidang Pengidentifikasi kunci , masukkan pengidentifikasi kunci yang dikelola pelanggan Anda.
Pilih Terapkan.
Setelah Anda menyelesaikan langkah-langkah ini, ruang kerja Anda dienkripsi dengan kunci yang dikelola pelanggan. Ini berarti bahwa semua data di OneLake dienkripsi dan bahwa item yang ada serta item di masa mendatang di ruang kerja dienkripsi oleh kunci yang dikelola oleh pelanggan yang Anda gunakan untuk penyiapan. Anda dapat meninjau status enkripsi Aktif, Sedang berlangsung atau Gagal di tab Enkripsi di pengaturan ruang kerja. Item yang enkripsinya sedang berlangsung atau gagal juga tercantum secara kategoris. Kunci harus tetap aktif di Key Vault saat enkripsi sedang berlangsung (Status: Sedang berlangsung). Refresh halaman untuk melihat status enkripsi terbaru. Jika enkripsi gagal untuk beberapa item di ruang kerja, Anda dapat mencoba kembali menggunakan kunci yang berbeda.
Mencabut akses
Untuk mencabut akses ke data di ruang kerja yang dienkripsi menggunakan kunci yang dikelola pelanggan, cabut kunci di Azure Key Vault. Dalam waktu 60 menit sejak kunci dicabut, panggilan baca dan tulis ke ruang kerja gagal.
Anda dapat mencabut kunci enkripsi yang dikelola pelanggan dengan mengubah kebijakan akses, dengan mengubah izin pada brankas kunci, atau dengan menghapus kunci.
Untuk mengembalikan akses, pulihkan akses ke kunci yang dikelola pelanggan di Key Vault.
Nota
Ruang kerja tidak secara otomatis memvalidasi ulang kunci untuk database SQL di Microsoft Fabric. Sebagai gantinya, Anda harus memvalidasi ulang CMK secara manual untuk memulihkan akses.
Menonaktifkan enkripsi
Untuk menonaktifkan enkripsi ruang kerja menggunakan kunci yang dikelola pelanggan, buka Pengaturan ruang kerja nonaktifkan Terapkan kunci yang dikelola pelanggan. Ruang kerja tetap dienkripsi menggunakan kunci terkelola Microsoft.
Nota
Anda tidak dapat menonaktifkan kunci yang dikelola pelanggan saat enkripsi untuk salah satu item Fabric di ruang kerja Anda sedang berlangsung.
Pemantauan
Anda dapat melacak permintaan konfigurasi enkripsi untuk ruang kerja Fabric Anda dengan entri log audit. Nama operasi berikut digunakan dalam log audit:
- MenerapkanEnkripsiRuangKerja
- NonaktifkanWorkspaceEncryption
- GetWorkspaceEncryption
Pertimbangan dan keterbatasan
Sebelum Mengonfigurasi ruang kerja Fabric dengan kunci yang dikelola pelanggan, pertimbangkan batasan berikut:
Data berikut tidak dilindungi dengan kunci yang dikelola pelanggan:
- Nama kolom Lakehouse, format tabel, pemadatan tabel.
- Semua data yang disimpan di Spark Cluster (data yang disimpan dalam disk sementara sebagai bagian dari fungsi pengacakan atau tumpahan data atau cache RDD dalam aplikasi Spark) tidak dilindungi. Ini termasuk semua Pekerjaan Spark dari Buku Catatan, Lakehouses, Definisi Pekerjaan Spark, Pekerjaan Pemuatan dan Pemeliharaan Tabel Lakehouse, Transformasi Shortcut, Penyegaran Tampilan Terwujud Fabric.
- Catatan pekerjaan yang disimpan dalam server riwayat
- Pustaka yang dilampirkan sebagai bagian dari lingkungan atau ditambahkan sebagai bagian dari penyesuaian sesi Spark menggunakan perintah ajaib tidak dilindungi
- Metadata yang dihasilkan saat membuat pekerjaan Alur dan Salin, seperti nama DB, tabel, skema
- Metadata model dan eksperimen ML, seperti nama model, versi, metrik
- Kueri gudang pada Object Explored dan cache backend, yang dihapus setelah setiap penggunaan
CMK didukung pada semua SKU F. Kapasitas uji coba tidak dapat digunakan untuk enkripsi menggunakan CMK.
Anda dapat mengaktifkan CMK untuk ruang kerja yang dihosting dalam kapasitas BYOK. Kunci yang sama atau terpisah dapat digunakan untuk melindungi kedua item di ruang kerja dengan dukungan CMK dan model semantik yang berada di kapasitas BYOK. (pratinjau)
CMK dapat diaktifkan menggunakan portal Fabric dan tidak memiliki dukungan API.
Pengaturan CMK dapat diaktifkan dan dinonaktifkan untuk ruang kerja ketika pengaturan enkripsi pada level tenant aktif. Setelah pengaturan penyewa dinonaktifkan, Anda tidak dapat lagi mengaktifkan CMK untuk ruang kerja di penyewa tersebut atau menonaktifkan CMK untuk ruang kerja yang sudah mengaktifkan CMK di penyewa tersebut. Data di ruang kerja yang mengaktifkan CMK sebelum pengaturan penyewa dinonaktifkan tetap dienkripsi dengan kunci yang dikelola pelanggan. Biarkan kunci terkait tetap aktif untuk dapat membongkar data di ruang kerja tersebut.