Azure Stream Analytics でのデータ保護

Azure Stream Analytics は、フル マネージドなサービスとしてのプラットフォームであり、リアルタイム分析パイプラインを構築することができます。 クラスターのプロビジョニング、使用量に合わせたノードのスケーリング、内部チェックポイントの管理などの時間がかかる処理は、すべてバックグラウンドで管理されます。

格納されるプライベート データ資産

Azure Stream Analytics によって、次のメタデータとデータが実行目的で保持されます。

• クエリ定義とそれに関連する構成

• ユーザー定義の関数または集計

• Stream Analytics ランタイムで必要とされるチェックポイント

• 参照データのスナップショット

• Stream Analytics ジョブによって使用されるリソースの接続詳細

リージョン内のデータ所在地

Azure Stream Analytics によって、前述の顧客データとその他のメタデータが保存されます。 既定では、Azure Stream Analytics によって顧客データが 1 つのリージョンのみに保存されるので、このサービスは自動的に、トラスト センターで指定されているものも含めてリージョン データ所在地の要件を満たすことになります。 さらに、ストリーム分析ジョブに関連するすべてのデータ資産 (顧客データやその他のメタデータ) を、選択したストレージ アカウントで暗号化して単一のリージョンに保存することもできます。

データを暗号化する

Stream Analytics は、データの暗号化とセキュリティ保護のために、最高クラスの暗号化規格をインフラストラクチャ全体で自動的に使用します。 データがすべて安全に保存されることについては Stream Analytics を信頼できるので、インフラストラクチャの管理について心配する必要はありません。

カスタマー マネージド キーを使用してデータを暗号化する場合は、独自のストレージ アカウント (汎用 V1 または V2) を使用して、Stream Analytics ランタイムに必要なプライベート データ資産を格納できます。 ストレージ アカウントは、必要に応じて暗号化できます。 プライベート データ資産が、Stream Analytics インフラストラクチャによって永続的に保存されることはありません。

この設定は Stream Analytics ジョブの作成時に構成する必要があり、ジョブのライフ サイクル全体を通して変更することはできません。 Stream Analytics によって使用されているストレージを変更または削除することはお勧めしません。 ストレージ アカウントを削除すると、すべてのプライベート データ資産が完全に削除されるため、ジョブを実行できなくなります。

ストレージ アカウントのキーの更新やローテーションは、Stream Analytics ポータルを使用して行うことはできません。 REST API を使用して、キーを更新できます。 信頼されたサービスを許可するマネージド ID 認証を使用して、ジョブ ストレージ アカウントに接続することもできます。

使用するストレージ アカウントが Azure Virtual Network 内にある場合は、[信頼されたサービスを許可する] でマネージド ID 認証モードを使用する必要があります。 詳細については、Azure 仮想ネットワーク内のリソースへの Stream Analytics ジョブの接続に関するページを参照してください。

プライベート データ用のストレージ アカウントを構成する

ストレージ アカウントを暗号化してすべてのデータを保護し、プライベート データの場所を明示的に選択します。

プライベート データ資産用のストレージ アカウントを構成するには、次の手順に従います。 この構成は、ストレージ アカウントからではなく、Stream Analytics ジョブから作られます。

1. Azure portal にサインインします。

2. Azure Portal の左上隅にある [リソースの作成] を選択します。

3. 結果の一覧で、 [Analytics]>[Stream Analytics ジョブ] の順に選択します。

4. [Stream Analytics ジョブ] ページで、名前、リージョン、スケールなどの必要な詳細情報を入力します。

5. [Secure all private data assets needed by this job in my Storage account](このジョブに必要なすべてのプライベート データ資産を自分のストレージ アカウントに保管してセキュリティで保護する) チェック ボックスをオンにします。

6. サブスクリプションからストレージ アカウントを選択します。 この設定は、ジョブのライフ サイクル全体を通して変更不可能です。 また、このオプションをジョブの作成後に追加することもできません。

7. 接続文字列を使用して認証するには、[認証モード] ドロップダウンから [接続文字列] を選択します。 ストレージ アカウント キーは、サブスクリプションから自動的に設定されます。

   

8. マネージド ID を使用して認証するには、[認証モード] ドロップダウンから [マネージド ID] を選択します。 マネージド ID を選択した場合は、ストレージ BLOB データ共同作成者ロール で Stream Analytics ジョブをストレージ アカウントのアクセス制御リストに追加する必要があります。 ジョブにアクセス権が付与されない場合は、そのジョブでは操作を一切実行できません。 アクセス権を付与する方法の詳細については、「BLOB データにアクセスするための Azure ロールを割り当てる」を参照してください。

   

Stream Analytics によって格納されるプライベート データ資産

Stream Analytics で存続する必要があるプライベート データは、ストレージ アカウントに格納されます。 プライベート データ資産の例を次に示します。

• 作成したクエリとそれに関連する構成

• ユーザー定義関数

• Stream Analytics ランタイムで必要とされるチェックポイント

• 参照データのスナップショット

Stream Analytics ジョブによって使用される、リソースの接続詳細も保存されます。 ストレージ アカウントを暗号化して、すべてのデータを保護します。

データ所在地を有効にする

この機能を使用すると、データ所在地の要件がある場合に、それに合わせてストレージ アカウントを指定することによってその要件を強制的に適用できます。

次のステップ

• Azure ストレージ アカウントの作成
• Azure Stream Analytics の入力について
• Azure Stream Analytics ジョブでのチェックポイントと再生の概念
• Stream Analytics での参照に参照データを使用する