Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Gjelder for:✅SQL-database i Microsoft Fabric
Viktig!
Denne funksjonen er i forhåndsversjon.
Microsoft Fabric krypterer all data i hvile ved hjelp av nøkler administrert av Microsoft. All SQL-databasedata lagres i eksterne Azure Storage-kontoer. For å overholde krav til kryptering i hvile ved bruk av Microsoft-administrerte nøkler, er hver Azure Storage-konto som brukes av SQL-databasen konfigurert med tjenesteside-kryptering aktivert.
Med kundestyrte nøkler for Fabric-arbeidsområder kan du bruke Azure Key Vault-nøklene dine til å legge til et ekstra beskyttelseslag til dataene i Microsoft Fabric-arbeidsområdene dine, inkludert all data i SQL-databasen i Microsoft Fabric. En kundeadministrert nøkkel gir større fleksibilitet, slik at du kan administrere rotasjon, kontrolltilgang og bruksovervåking. Kundestyrte nøkler hjelper også organisasjoner med å møte behov for datastyring og overholde standarder for databeskyttelse og kryptering.
- Når en kundeadministrert nøkkel konfigureres for et arbeidsområde i Microsoft Fabric, aktiveres transparent datakryptering automatisk for alle SQL-databaser (og
tempdb) i det arbeidsområdet ved bruk av den spesifiserte kundestyrte nøkkelen. Denne prosessen er helt sømløs og krever ingen manuell inngripen.- Selv om krypteringsprosessen starter automatisk for alle eksisterende SQL-databaser, er den ikke umiddelbar; varigheten avhenger av størrelsen på hver SQL-database, hvor større SQL-databaser krever mer tid for å fullføre kryptering.
- Etter at kunde-administrerte nøkkelen er konfigurert, vil alle SQL-databaser som opprettes i arbeidsområdet også bli kryptert med kunde-administrert nøkkel.
- Hvis den kundestyrte nøkkelen fjernes, utløses dekrypteringsprosessen for alle SQL-databaser i arbeidsområdet. Akkurat som kryptering er dekryptering også avhengig av størrelsen på SQL-databasen og kan ta tid å fullføre. Når de er dekryptert, går SQL-databasene tilbake til å bruke Microsoft-administrerte nøkler for kryptering.
Hvordan transparent datakryptering fungerer i SQL-databaser i Microsoft Fabric
Transparent datakryptering utfører sanntidskryptering og dekryptering av databasen, tilhørende sikkerhetskopier og transaksjonsloggfiler i ro.
- Denne prosessen skjer på sidenivå, noe som betyr at hver side dekrypteres når den leses inn i minnet og krypteres på nytt før den skrives tilbake til disken.
- Transparent datakryptering sikrer hele databasen ved hjelp av en symmetrisk nøkkel kjent som Database Encryption Key (DEK).
- Når databasen starter opp, dekrypteres den krypterte DEK og brukes av SQL Server-databasemotoren til å administrere krypterings- og dekrypteringsoperasjoner.
- Selve DEK er beskyttet av den transparente datakrypteringsbeskytteren, som er en kundestyrt asymmetrisk nøkkel – nærmere bestemt den kundestyrte nøkkelen som er konfigurert på arbeidsområdenivå.
Sikkerhetskopiering og gjenoppretting
Når en SQL-database er kryptert med en kundestyrt nøkkel, blir også alle nylig genererte sikkerhetskopier kryptert med samme nøkkel.
Når nøkkelen endres, oppdateres ikke gamle sikkerhetskopier av SQL-databasen til å bruke den nyeste nøkkelen. For å gjenopprette en sikkerhetskopi kryptert med en kundestyrt nøkkel, sørg for at nøkkelmaterialet er tilgjengelig i Azure Key Vault. Derfor anbefaler vi at kundene beholder alle de gamle versjonene av kundeadministrerede nøkler i Azure Key Vault, slik at SQL-databasesikkerhetskopier kan gjenopprettes.
SQL-databasegjenopprettingsprosessen vil alltid respektere den kundestyrte nøkkelarbeidsplassinnstillingen. Tabellen nedenfor viser ulike gjenopprettingsscenarier basert på kundestyrte nøkkelinnstillinger og om sikkerhetskopien er kryptert.
| Backupen er... | Kundestyrt nøkkelarbeidsplassinnstilling | Krypteringsstatus etter gjenoppretting |
|---|---|---|
| Ikke kryptert | Deaktivert | SQL-databasen er ikke kryptert |
| Ikke kryptert | Aktivert | SQL-databasen er kryptert med kundestyrt nøkkel |
| Kryptert med kundestyrt nøkkel | Deaktivert | SQL-databasen er ikke kryptert |
| Kryptert med kundestyrt nøkkel | Aktivert | SQL-databasen er kryptert med kundestyrt nøkkel |
| Kryptert med kundestyrt nøkkel | Aktivert, men annerledes kundestyrt nøkkel | SQL-databasen krypteres med den nye kundestyrte nøkkelen |
Verifiser vellykket kundeadministrert nøkkel
Når du aktiverer kundestyrt nøkkelkryptering i arbeidsområdet, vil den eksisterende databasen bli kryptert. En ny database i et arbeidsområde vil også bli kryptert når kundeadministreret nøkkel aktiveres. For å verifisere om databasen din er vellykket kryptert, kjør følgende T-SQL-spørring:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- En database er kryptert hvis
encryption_state_descfeltet visesENCRYPTEDmedASYMMETRIC_KEYsom .encryptor_type - Hvis tilstanden er
ENCRYPTION_IN_PROGRESS,percent_completevil kolonnen indikere fremdriften til endringen av krypteringstilstanden. Dette vil skje0hvis det ikke skjer noen endring i tilstanden. - Hvis den ikke er kryptert, vil ikke en database vises i spørringsresultatene til
sys.dm_database_encryption_keys.
Feilsøk utilgjengelig, kundestyrt nøkkel
Når en kundeadministrert nøkkel konfigureres for et arbeidsområde i Microsoft Fabric, kreves kontinuerlig tilgang til nøkkelen for at SQL-databasen skal forbli online. Hvis SQL-databasen mister tilgangen til nøkkelen i Azure Key Vault, begynner SQL-databasen etter opptil 10 minutter å nekte alle tilkoblinger og endrer tilstanden til Inaccess. Brukere vil motta en tilsvarende feilmelding som «Databasen <database ID>.database.fabric.microsoft.com er ikke tilgjengelig på grunn av kritisk feil i Azure Key Vault.»
- Hvis nøkkeltilgangen gjenopprettes innen 30 minutter, vil SQL-databasen automatisk helbredes innen neste time.
- Hvis nøkkeltilgangen gjenopprettes etter mer enn 30 minutter, er automatisk helbredelse av SQL-databasen ikke mulig. Å bringe tilbake SQL-databasen krever ekstra steg og kan ta betydelig tid, avhengig av størrelsen på SQL-databasen.
Bruk følgende steg for å validere den kundestyrte nøkkelen på nytt:
- I arbeidsområdet ditt, høyreklikk på SQL-databasen eller kontekstmenyen
.... Velg Innstillinger. - Velg Kryptering (forhåndsvisning).
- For å forsøke å revalidere den kundeadministrerede nøkkelen, velg knappen Revalidere kundeadministrert nøkkel . Hvis revalideringen lykkes, kan det ta litt tid å gjenopprette tilgangen til SQL-databasen din.
Note
Når du validerer nøkkelen for én SQL-database, blir nøkkelen automatisk revalidert for alle SQL-databaser i arbeidsområdet ditt.
Limitations
Nåværende begrensninger ved bruk av kundestyrt nøkkel for en SQL-database i Microsoft Fabric:
- 4 096-bits nøkler støttes ikke for SQL Database i Microsoft Fabric. Støttede nøkkellengder er 2 048 biter og 3 072 biter.
- Den kundeadministrerede nøkkelen må være en RSA eller RSA-HSM asymmetrisk nøkkel.
- For øyeblikket er kundestyrt nøkkelkryptering tilgjengelig i følgende regioner:
- USA: Øst-US 2, Sør-Sentral-USA
- Asia: Australia Øst, Sørøst-Asia, UAE Nord
- Europa: Nord-Europa, Vest-Europa