Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Gjelder for:✅ Lager i Microsoft Fabric
Fabric Data Warehouse krypterer alle inaktive data som standard, og sikrer at informasjonen din er beskyttet gjennom Microsoft-administrerte nøkler.
I tillegg kan du forbedre sikkerhetsstatusen ved å bruke kundeadministrerte nøkler (CMK), noe som gir deg direkte kontroll over krypteringsnøklene som beskytter dataene og metadataene.
Når du aktiverer CMK for et arbeidsområde som inneholder et Fabric Data Warehouse, beskyttes både OneLake-data og lagermetadata ved hjelp av Azure Key Vault-driftede krypteringsnøkler. Med kundeadministrerte nøkler kan du koble Fabric-arbeidsområdet direkte til ditt eget Azure Key Vault. Du opprettholder full kontroll over oppretting, tilgang og rotasjon av nøkler, og sikrer samsvar med organisasjonens sikkerhets- og styringspolicyer.
Hvis du vil komme i gang med å konfigurere CMK for Fabric-arbeidsområdet, kan du se Kundeadministrerte nøkler for Fabric-arbeidsområder.
Slik fungerer datakryptering i Fabric Data Warehouse
Fabric Data Warehouse følger en krypteringsmodell med flere lag for å sikre at dataene dine forblir beskyttet når de er inaktive og forbigående i bruk.
SQL-grensesnitt: Krypterer metadata (tabeller, visninger, funksjoner, lagrede prosedyrer).
Databehandlingsbasseng for serverdel: Bruker flyktige cacher; Ingen data blir liggende i hvile.
OneLake: Alle vedvarende data er kryptert.
SQL-kryptering av frontend-lag
Når CMK er aktivert for arbeidsområdet, bruker Fabric Data Warehouse også den kundeadministrerte nøkkelen til å kryptere metadata, for eksempel tabelldefinisjoner, lagrede prosedyrer, funksjoner og skjemainformasjon.
Dette sikrer at både dataene dine i OneLake og personlige databærende metadata på lageret er kryptert med din egen nøkkel.
Kryptering av datautvalgslag for serverdel
Fabrics databehandlingsserverdel behandler spørringer i et flyktig, hurtigbufferbasert miljø. Ingen data blir noen gang liggende i disse cachene. Fordi Fabric Warehouse utestenger alt innhold i serverdelbufferen etter bruk, beholdes aldri midlertidige data utover øktens levetid.
På grunn av deres kortvarige natur er serverdelbuffere bare kryptert med Microsoft-administrerte nøkler og er ikke underlagt kryptering av CMK, av ytelsesårsaker. Serverdelbuffere tømmes automatisk og genereres på nytt som en del av normale databehandlingsoperasjoner.
OneLake-kryptering
Alle data som er lagret i OneLake, krypteres når de er inaktive ved hjelp av Microsoft-administrerte nøkler som standard.
Når CMK er aktivert, brukes den kundeadministrerte nøkkelen (lagret i Azure Key Vault) til å kryptere datakrypteringsnøklene (DEK-er), noe som gir en ekstra konvolutt med beskyttelse. Du beholder kontrollen over nøkkelrotasjon, tilgangspolicyer og revisjon.
Viktig!
I CMK-aktiverte arbeidsområder krypteres alle OneLake-data ved hjelp av dine kundeadministrerte nøkler.
Begrensninger
Før du aktiverer CMK for Fabric Data Warehouse, må du se gjennom følgende vurderinger:
Nøkkeloverføringsforsinkelse: Når en nøkkel roteres, oppdateres eller erstattes i Azure Key Vault, kan det være en overføringsforsinkelse før Fabrics SQL-lag. Under visse forhold kan denne forsinkelsen ta opptil 20 minutter før SQL-tilkoblinger gjenopprettes med den nye nøkkelen.
Hurtigbufring av serverdel: Data som behandles av Fabrics databehandlingsutvalg for serverdel, krypteres ikke med CMK i hvile på grunn av den kortvarige naturen i minnet. Fabric kaster automatisk ut bufrede data etter hver bruk.
Tjenestetilgjengelighet under tilbakekalling av nøkkel: Hvis CMK blir utilgjengelig eller tilbakekalt, mislykkes lese- og skriveoperasjoner i arbeidsområdet til tilgangen til nøkkelen er gjenopprettet.
DMV-støtte: Siden CMK-konfigurasjonen er etablert og konfigurert på arbeidsområdenivå, kan du ikke bruke
sys.dm_database_encryption_keystil å vise krypteringsstatusen til databasen, noe som skjer utelukkende på arbeidsområdenivå.Brannmurbegrensninger: CMK støttes ikke når Azure Key Vault-brannmuren er aktivert.
Spørringer i redigeringsprogrammet for spørring i Fabric Portal Object Explorer krypteres ikke med CMK.