Condividi tramite


Crittografare Azure Data Factory con le chiavi gestite dal cliente

SI APPLICA A: Azure Data Factory Azure Synapse Analytics

Suggerimento

Provare Data Factory in Microsoft Fabric, una soluzione di analisi all-in-one per le aziende. Microsoft Fabric copre tutto, dallo spostamento dati al data science, all'analisi in tempo reale, alla business intelligence e alla creazione di report. Vedere le informazioni su come iniziare una nuova prova gratuita!

Azure Data Factory crittografa i dati inattivi, ad esempio le definizioni delle entità e i dati memorizzati nella cache mentre le esecuzioni sono in corso. Per impostazione predefinita, i dati vengono crittografati con una chiave gestita da Microsoft e generata in modo casuale, assegnata in modo univoco alla data factory. Per garanzie di sicurezza aggiuntive, è ora possibile abilitare Bring Your Own Key (BYOK) con la funzionalità chiavi gestite dal cliente in Azure Data Factory. Quando si specifica una chiave gestita dal cliente, Data Factory usa sia la chiave di sistema factory che la chiave cmk per crittografare i dati dei clienti. La mancanza di una delle due chiavi può comportare la negazione dell'accesso ai dati e alla factory.

Per archiviare le chiavi gestite dal cliente, è necessario Azure Key Vault. È possibile creare chiavi personalizzate e archiviarle in un Key Vault, oppure usare le API di Azure Key Vault per generare chiavi. Key Vault e Data Factory devono trovarsi nello stesso tenant di Microsoft Entra e nella stessa area, ma possono trovarsi in sottoscrizioni diverse. Per altre informazioni su Azure Key Vault, vedere Informazioni su Azure Key Vault.

Informazioni sulle chiavi gestite dal cliente

Il diagramma seguente illustra come Data Factory usa l'ID Microsoft Entra e Azure Key Vault per effettuare richieste usando la chiave gestita dal cliente:

Diagramma che illustra il funzionamento delle chiavi gestite dal cliente in Azure Data Factory.

Nell'elenco seguente vengono illustrati i passaggi numerati nel diagramma:

  1. Un amministratore di Azure Key Vault concede le autorizzazioni per le chiavi di crittografia all'identità gestita associata a Data Factory
  2. Un amministratore di Data Factory abilita la funzionalità chiave gestita dal cliente nella factory
  3. Data Factory usa l'identità gestita associata alla factory per autenticare l'accesso ad Azure Key Vault tramite Microsoft Entra ID
  4. Data Factory esegue il wrapping della chiave di crittografia della factory con la chiave del cliente in Azure Key Vault
  5. Per le operazioni di lettura/scrittura, Data Factory invia richieste ad Azure Key Vault per annullare il wrapping della chiave di crittografia dell'account per l'esecuzione di crittografia e decrittografia

Esistono due modi per aggiungere la crittografia della chiave gestita dal cliente alle data factory. Uno è durante la fase di creazione della factory in portale di Azure e l'altro è dopo la creazione della factory, nell'interfaccia utente di Data Factory.

Prerequisiti - Configurare Azure Key Vault e generare chiavi

Abilitare l'eliminazione temporanea e non eliminare Azure Key Vault

L'uso delle chiavi gestite dal cliente con Data Factory richiede l'impostazione di due proprietà in Key Vault, ovvero Eliminazione temporanea e Do Not Purge (Non eliminare). Queste proprietà possono essere abilitate tramite PowerShell o Azure CLI in un nuovo o esistente key vault. Per informazioni su come abilitare queste proprietà in un insieme di credenziali delle chiavi esistente, consultare Gestione del ripristino di Azure Key Vault con protezione dall’eliminazione temporanea e dalla rimozione definitiva

Se si crea un nuovo Azure Key Vault tramite il portale di Azure, le proprietà Eliminazione temporanea e Do Not Purge (Non eliminare) possono essere abilitate come indicato di seguito:

Screenshot che mostra come abilitare l'eliminazione temporanea e la protezione dall'eliminazione al momento della creazione di Key Vault.

Concedere a Data Factory l'accesso ad Azure Key Vault

Assicurarsi che Azure Key Vault e Azure Data Factory si trovino nello stesso tenant di Microsoft Entra e nella stessa area. È possibile usare criteri di accesso o autorizzazioni di controllo di accesso:

  1. Politiche di Accesso - Nel tuo Key Vault, selezionare Politiche di Accesso ->Aggiungi Politica di Accesso -> cercare l'identità gestita di Azure Data Factory e concedere Get, Unwrap Key, e Wrap Key nel menu a discesa delle autorizzazioni per i segreti.

  2. Controllo di accesso - L'identità gestita avrà bisogno di due ruoli nel controllo di accesso: Utente del Servizio Cripto di Key Vault e Utente dei Segreti di Key Vault. Nell'insieme di credenziali selezionare Controllo di accesso (IAM) ->+ Aggiungi ->Aggiungi assegnazione di ruolo. Selezionare uno dei ruoli e quindi selezionare Avanti. In Membri selezionare Identità gestita e quindi Selezionare i membri e cercare l'identità gestita di Azure Data Factory. Selezionare quindi Rivedi e assegna. Ripetere per il secondo ruolo.

  • Se si vuole aggiungere la crittografia con chiavi gestite dal cliente dopo la creazione della data factory nell'interfaccia utente di Data Factory, assicurarsi che l'identità del servizio gestito della data factory disponga delle autorizzazioni corrette per Key Vault.
  • Se si vuole aggiungere la crittografia della chiave gestita dal cliente durante la creazione della factory nel portale di Azure, assicurarsi che l'identità gestita assegnata dall'utente (UA-MI) disponga delle autorizzazioni corrette per Key Vault

Generare o caricare la chiave gestita dal cliente in Azure Key Vault

È possibile creare chiavi personalizzate e archiviarle in un insieme di credenziali delle chiavi. In alternativa, è possibile usare le API di Azure Key Vault per generare chiavi. Solo le chiavi RSA sono supportate con la crittografia di Data Factory. È supportato anche RSA-HSM. Per i dettagli, vedere l'articolo relativo alle informazioni su chiavi, segreti e certificati.

Screenshot che mostra come generare la chiave gestita dal cliente.

Abilitare chiavi gestite dal cliente

Post-factory creazione nell'interfaccia utente di Data Factory

Questa sezione illustra il processo per aggiungere la crittografia della chiave gestita dal cliente nell'interfaccia utente di Data Factory, dopo la creazione della factory.

Nota

Una chiave gestita dal cliente può essere configurata solo in una data factory vuota. La data factory non può contenere alcuna risorsa, ad esempio servizi collegati, pipeline e flussi di dati. È consigliabile abilitare la chiave gestita dal cliente subito dopo la creazione della factory.

Importante

Questo approccio non funziona con le factory abilitate per la rete virtuale gestita. Prendere in considerazione la route alternativa, se si vogliono crittografare tali factory.

  1. Assicurarsi che l'identità del servizio gestita della data factory disponga delle autorizzazioni Ottenere, Annullare il wrapping della chiave e Eseguire il wrapping della chiave per Key Vault.

  2. Verificare che la Data Factory sia vuota. La data factory non può contenere risorse come servizi collegati, pipeline e flussi di dati. Per il momento, la distribuzione della chiave gestita dal cliente in una fabbrica non vuota risulterà in un errore.

  3. Per individuare l'URI della chiave nel portale di Azure, passare ad Azure Key Vault e selezionare l'impostazione Chiavi. Selezionare la chiave desiderata e quindi selezionare la chiave per visualizzarne le versioni. Selezionare una versione della chiave per visualizzare le impostazioni

  4. Copiare il valore del campo di identificatore della chiave, che fornisce l'URI Screenshot del recupero dell'URI della chiave da Key Vault.

  5. Avviare il portale di Azure Data Factory e usare la barra di spostamento a sinistra per passare al portale di gestione di Data Factory

  6. Selezionare l'icona Chiave gestita dal clienteScreenshot di come abilitare la chiave gestita dal cliente nell'interfaccia utente di Data Factory.

  7. Immettere l'URI per la chiave gestita dal cliente copiata in precedenza

  8. Selezionare Salva e la crittografia della chiave gestita dal cliente è abilitata per Data Factory

Durante la creazione della factory nel portale di Azure

Questa sezione illustra i passaggi per aggiungere la crittografia della chiave gestita dal cliente nel portale di Azure durante la distribuzione della factory.

Per crittografare la factory, Data Factory deve prima recuperare la chiave gestita dal cliente da Key Vault. Poiché la distribuzione di factory è ancora in corso, l'identità del servizio gestito non è ancora disponibile per l'autenticazione con Key Vault. Di conseguenza, per usare questo approccio, il cliente deve assegnare un'identità gestita assegnata dall'utente (UA-MI) alla data factory. Assumeremo i ruoli definiti in UA-MI e autenticheremo con Key Vault.

Per altre informazioni sull'identità gestita assegnata dall'utente, vedere Tipi di identità gestite e Assegnazione di ruolo per l'identità gestita assegnata dall'utente.

  1. Assicurarsi che l'identità gestita assegnata dall'utente disponga delle autorizzazioni Ottenere, Annullare il wrapping della chiave e Eseguire il wrapping della chiave

  2. Nella scheda Avanzate selezionare la casella Abilita crittografia usando una chiave gestita dal clienteScreenshot della scheda Avanzate per l'esperienza di creazione della data factory in portale di Azure.

  3. Specificare l'URL per la chiave gestita dal cliente archiviata in Key Vault

    Suggerimento

    Se non si passa la versione della chiave nell'URL dopo l'ultimo '/' (ad esempio: https://mykeyvault.vault.azure.net/keys/cmk/), la versione predefinita sarà sempre la più recente se la chiave viene aggiornata in futuro.

    Attualmente questa funzionalità è supportata solo tramite il portale di Azure.

  4. Selezionare un'identità gestita assegnata dall'utente appropriata per l'autenticazione con Azure Key Vault.

  5. Continuare con la distribuzione factory.

Aggiornare la versione della chiave

Quando si crea una nuova versione di una chiave, aggiornare data factory per usare la nuova versione:

  1. Individuare l'URI per la nuova versione della chiave tramite il portale di Azure Key Vault:

    1. Passare ad Azure Key Vault e selezionare l'impostazione Chiavi.
    2. Selezionare la chiave desiderata e quindi selezionare la chiave per visualizzarne le versioni.
    3. Selezionare una versione chiave per visualizzare le impostazioni.
  2. Copiare il valore del campo Identificatore chiave, che fornisce l'URI.

  3. Avviare il portale di Azure Data Factory e, usando la barra di spostamento a sinistra, selezionare il portale di gestione di Data Factory.

  4. Selezionare l'impostazione Chiave gestita dal cliente .

  5. Immettere l'URI per la chiave gestita dal cliente copiata in precedenza.

  6. Selezionare Salva e Data Factory verrà ora crittografata con la nuova versione della chiave.

Usare una chiave diversa

Per modificare la chiave usata per la crittografia di Data Factory, è necessario aggiornare manualmente le impostazioni in Azure Data Factory:

  1. Individuare l'URI per la nuova versione della chiave tramite il portale di Azure Key Vault:

    1. Passare ad Azure Key Vault e selezionare l'impostazione Chiavi.
    2. Selezionare la chiave desiderata e quindi selezionare la chiave per visualizzarne le versioni.
    3. Selezionare una versione chiave per visualizzare le impostazioni.
  2. Copiare il valore del campo Identificatore chiave, che fornisce l'URI.

  3. Avviare il portale di Azure Data Factory e, usando la barra di spostamento a sinistra, selezionare il portale di gestione di Data Factory.

  4. Selezionare l'impostazione Chiave gestita dal cliente .

  5. Immettere l'URI per selezionare che è stato copiato prima.

  6. Selezionare Salva e Data Factory verrà ora crittografata con la nuova versione della chiave.

Disabilitare le chiavi gestite dal cliente

Per impostazione predefinita, dopo aver abilitato la funzionalità di selezione, non è possibile rimuovere il passaggio di sicurezza aggiuntivo. Ci aspettiamo sempre che venga fornita una chiave dal cliente per crittografare l'impianto e i dati.

Chiave gestita dal cliente e integrazione continua e distribuzione continua

Per impostazione predefinita, la configurazione CMK non è inclusa nel modello predefinito di Azure Resource Manager (ARM). Per includere le impostazioni di crittografia della chiave gestita dal cliente nel modello arm per l'integrazione continua (CI/CD):

  1. Verificare che la factory sia in modalità Git
  2. Passare alla sezione Portale di gestione - Chiave gestita dal cliente
  3. Selezionare l'opzione Includi nel modello di Resource Manager

Screenshot che mostra l'inclusione dell'impostazione della chiave gestita dal cliente nel modello ARM.

Le impostazioni seguenti verranno aggiunte all'interno del modello ARM. Queste proprietà possono essere parametrizzate nelle pipeline di integrazione continua e recapito modificando la configurazione dei parametri di Azure Resource Manager

Screenshot dell'inclusione dell'impostazione della chiave gestita dal cliente nel modello di Azure Resource Manager.

Nota

L'aggiunta dell'impostazione di crittografia ai modelli arm aggiunge un'impostazione a livello di factory che sostituirà altre impostazioni a livello di factory, ad esempio le configurazioni Git, in altri ambienti. Se queste impostazioni sono abilitate in un ambiente con privilegi elevati, ad esempio UAT o PROD, vedere Parametri globali in CI/CD.

Per informazioni sull'uso di Data Factory in più scenari, fare riferimento alle esercitazioni.