Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
si applica a:✅ Magazzino di dati in Microsoft Fabric
Fabric Data Warehouse crittografa tutti i dati inattivi per impostazione predefinita, assicurandosi che le informazioni siano protette tramite chiavi gestite da Microsoft.
Inoltre, è possibile migliorare il comportamento di sicurezza usando chiavi gestite dal cliente (CMK), offrendo il controllo diretto sulle chiavi di crittografia che proteggono i dati e i metadati.
Quando si abilita cmk per un'area di lavoro che contiene un data warehouse di Fabric, i metadati di OneLake e del data warehouse vengono protetti usando le chiavi di crittografia ospitate in Azure Key Vault. Con le chiavi gestite dal cliente, è possibile connettere direttamente l'area di lavoro Fabric al proprio Azure Key Vault. Si mantiene il controllo completo sulla creazione, l'accesso e la rotazione delle chiavi, garantendo la conformità ai criteri di sicurezza e governance dell'organizzazione.
Per iniziare a configurare le chiavi gestite dal cliente per l'area di lavoro di Fabric, vedere Chiavi gestite dal cliente per le aree di lavoro di Fabric.
Funzionamento della crittografia dei dati in Fabric Data Warehouse
Fabric Data Warehouse segue un modello di crittografia a più livelli per garantire che i dati rimangano protetti a riposo e transitori durante l'uso.
Front-end SQL: Crittografa i metadati (tabelle, viste, funzioni, stored procedure).
Pool di calcolo back-end: Usa cache temporanee; nessun dato rimane inattivo.
OneLake: Tutti i dati persistenti vengono crittografati.
Crittografia dello strato front-end SQL
Quando la chiave gestita dal cliente (CMK) è abilitata per l'area di lavoro, Fabric Data Warehouse utilizza anche la CMK per crittografare i metadati, come le definizioni delle tabelle, le stored procedure, le funzioni e le informazioni sullo schema.
In questo modo, sia i dati in OneLake che i metadati contenenti dati personali nel magazzino di dati vengono crittografati con la tua chiave.
Crittografia del livello del pool di calcolo back-end
Il back-end di calcolo di Fabric elabora le query in un ambiente temporaneo basato sulla cache. In queste cache non vengono mai lasciati dati a riposo. Poiché Fabric Warehouse rimuove tutto il contenuto della cache back-end dopo l'uso, i dati temporanei non vengono mai mantenuti oltre la durata della sessione.
A causa della loro natura di breve durata, le cache back-end vengono crittografate solo con chiavi gestite da Microsoft e non sono soggette alla crittografia da CMK, per motivi di prestazioni. Le cache back-end vengono cancellate e rigenerate automaticamente come parte delle normali operazioni di calcolo.
Crittografia del livello OneLake
Tutti i dati archiviati in OneLake vengono crittografati a riposo utilizzando le chiavi gestite da Microsoft per impostazione predefinita.
Quando CMK è abilitato, la chiave gestita dal cliente (archiviata in Azure Key Vault) viene utilizzata per crittografare le chiavi di crittografia dei dati (DEK), offrendo un ulteriore livello di protezione. Si mantiene il controllo sulla rotazione delle chiavi, sui criteri di accesso e sul controllo.
Importante
Nelle aree di lavoro abilitate per cmk tutti i dati di OneLake vengono crittografati usando le chiavi gestite dal cliente.
Limitazioni
Prima di abilitare cmk per il data warehouse di Fabric, esaminare le considerazioni seguenti:
Ritardo di propagazione delle chiavi: quando una chiave viene ruotata, aggiornata o sostituita in Azure Key Vault, può verificarsi un ritardo di propagazione prima del livello SQL di Fabric. In determinate condizioni, questo ritardo può richiedere fino a 20 minuti prima che le connessioni SQL vengano ristabilite con la nuova chiave.
Caching back-end: I dati elaborati dal pool di calcolo back-end di Fabric non vengono crittografati con CMK a riposo a causa della sua natura di breve durata e in memoria. Fabric rimuove automaticamente i dati memorizzati nella cache dopo ogni utilizzo.
Disponibilità del servizio durante la revoca delle chiavi: se la chiave master del cliente (CMK) diventa inaccessibile o revocata, le operazioni di lettura e scrittura nell'area di lavoro falliscono fino al ripristino dell'accesso alla chiave.
Supporto DMV: poiché la configurazione cmk viene stabilita e configurata a livello di area di lavoro, non è possibile usare
sys.dm_database_encryption_keysper visualizzare lo stato di crittografia del database, che avviene esclusivamente a livello di area di lavoro.Restrizioni del firewall: la chiave gestita dal cliente (CMK) non è supportata quando il firewall di Azure Key Vault è abilitato.
Le interrogazioni nell'editor di interrogazioni del portale Fabric Object Explorer non vengono crittografate con CMK.