Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Fabric krypterer all data-at-rest ved hjelp av Microsoft-administrerte nøkler. Med kundeadministrerte nøkler for Fabric-arbeidsområder kan du bruke Azure Key Vault-nøklene til å legge til et nytt lag med beskyttelse til dataene i Microsoft Fabric-arbeidsområdene – inkludert alle data i OneLake. En kundeadministrert nøkkel gir større fleksibilitet, slik at du kan administrere rotasjon, kontrolltilgang og bruksovervåking. Det hjelper også organisasjoner med å oppfylle datastyringsbehov og overholde databeskyttelse og krypteringsstandarder.
Slik fungerer kundeadministrerte nøkler
Alle Fabric-datalagre krypteres i ro med Microsoft-administrerte nøkler. Kundeadministrerte nøkler bruker konvoluttkryptering, der en nøkkelkrypteringsnøkkel (KEK) krypterer en datakrypteringsnøkkel (DEK). Når du bruker kundeadministrerte nøkler, krypterer Microsoft-administrert DEK dataene dine, og deretter krypteres DEK ved hjelp av den kundeadministrerte KEK-en. Bruk av en KEK som aldri forlater Key Vault gjør at datakrypteringsnøklene selv kan krypteres og kontrolleres. Dette sikrer at alt kundeinnhold i et CMK-aktivert arbeidsområde krypteres ved hjelp av kundeadministrerte nøkler.
Aktiver kryptering med kundeadministrerte nøkler for arbeidsområdet ditt
Administratorer for arbeidsområder kan konfigurere kryptering ved hjelp av CMK på arbeidsområdenivå. Når administratoren for arbeidsområdet aktiverer innstillingen i portalen, krypteres alt kundeinnhold som er lagret i arbeidsområdet, ved hjelp av den angitte CMK-en. CMK integreres med AKVs tilgangspolicyer og rollebasert tilgangskontroll (RBAC), noe som gir deg fleksibilitet til å definere detaljerte tillatelser basert på organisasjonens sikkerhetsmodell. Hvis du velger å deaktivere CMK-kryptering senere, går arbeidsområdet tilbake til å bruke Microsoft-administrerte nøkler. Du kan også tilbakekalle nøkkelen når som helst, og tilgangen til de krypterte dataene vil bli blokkert innen en time etter tilbakekalling. Med detaljnivå og kontroll på arbeidsområdenivå øker du sikkerheten til dataene dine i Fabric.
Støttede elementer
Kundeadministrerte nøkler støttes for øyeblikket for følgende Fabric-elementer:
- Lakehouse
- Lager
- Notatblokk
- Environment
- Spark-jobbdefinisjon
- API for GraphQL
- ML-modell
- Experiment
- Pipeline
- Dataflow
- Bransjeløsninger
- SQL Database (forhåndsvisning)
Denne funksjonen kan ikke aktiveres for et arbeidsområde som inneholder elementer som ikke støttes. Når kundeadministrert nøkkelkryptering for et Fabric-arbeidsområde er aktivert, kan bare støttede elementer opprettes i dette arbeidsområdet. Hvis du vil bruke elementer som ikke støttes, oppretter du dem i et annet arbeidsområde som ikke har denne funksjonen aktivert.
Konfigurer kryptering med kundeadministrerte nøkler for arbeidsområdet
Kundeadministrert nøkkel for Fabric-arbeidsområder krever et første oppsett. Dette oppsettet omfatter aktivering av tenantinnstillingen For stoffkryptering, konfigurering av Azure Key Vault og gi Fabric Platform CMK-appen tilgang til Azure Key Vault. Når oppsettet er fullført, kan en bruker med en administratorarbeidsområderolle aktivere funksjonen i arbeidsområdet.
Trinn 1: Aktiver innstillingen for Fabric-leieren
En Fabric-administrator må kontrollere at innstillingen Bruk kundeadministrerte nøkler er aktivert. Hvis du vil ha mer informasjon, kan du se artikkelen om innstilling for krypteringsleietaker .
Trinn 2: Opprette en tjenestekontohaver for Fabric Platform CMK-appen
Fabric bruker Fabric Platform CMK-appen til å få tilgang til Azure Key Vault. For at appen skal fungere, må det opprettes en tjenestekontohaver for leieren. Denne prosessen utføres av en bruker som har Microsoft Entra ID-rettigheter, for eksempel en administrator for skyprogrammet.
Følg instruksjonene i Opprett et bedriftsprogram fra et program med flere enheter i Microsoft Entra ID for å opprette en tjenestekontohaver for et program kalt Fabric Platform CMK med app-ID 61d6811f-7544-4e75-a1e6-1c59c0383311 i Microsoft Entra ID-leieren.
Trinn 3: Konfigurer Azure Key Vault
Du må konfigurere nøkkelhvelvet slik at Fabric får tilgang til det. Dette trinnet utføres av en bruker som har key vault-rettigheter, for eksempel en key vault-administrator. Hvis du vil ha mer informasjon, kan du se Azure-sikkerhetsroller .
Åpne Azure-portalen, og gå til Key Vault. Hvis du ikke har Key Vault, følger du instruksjonene i Opprett et nøkkelhvelv ved hjelp av Azure-portalen.
Konfigurer følgende innstillinger i nøkkelhvelvet:
- Myk sletting – aktivert
- Spylevern - aktivert
Åpne Access-kontrollen (IAM) i nøkkelhvelvet.
Fra rullegardinmenyen Legg til velger du Legg til rolletilordning.
Velg fanen Medlemmer , og klikk deretter på Velg medlemmer.
Søk etter Fabric Platform CMK i Velg medlemmer-ruten
Velg Fabric Platform CMK-appen , og velg deretter.
Velg Rolle-fanen , og søk etter Key Vault Crypto Service Encryption User eller en rolle som aktiverer hent-, wrapkey- og unwrap-nøkkeltillatelser .
Velg krypteringsbruker for Key Vault Crypto Service.
Velg Se gjennom + tilordne , og velg deretter Se gjennom + tilordne for å bekrefte valget ditt.
Trinn 4: Opprette en Azure Key Vault-nøkkel
Hvis du vil opprette en Azure Key Vault-nøkkel, følger du instruksjonene i Opprett et nøkkelhvelv ved hjelp av Azure-portalen.
Nøkkelhvelvkrav
Fabric støtter bare versjonsløse kundeadministrerte nøkler, som er nøkler i formatet https://{vault-name}.vault.azure.net/{key-type}/{key-name} for hvelv og https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} for administrert HSM. Fabric kontrollerer nøkkelhvelvet daglig for en ny versjon, og bruker den nyeste versjonen som er tilgjengelig. Hvis du vil unngå å ha en periode der du ikke får tilgang til data i arbeidsområdet etter at en ny nøkkel er opprettet, må du vente 24 timer før du deaktiverer den eldre versjonen.
Key Vault og Managed HSM må ha både myk sletting og slettingsbeskyttelse aktivert, og nøkkelen må være av RSA- eller RSA-HSM-typen. De støttede nøkkelstørrelsene er:
- 2 048 biter
- 3 072 biter
- 4 096 biter
Hvis du vil ha mer informasjon, kan du se Om nøkler.
Note
4 096-bits nøkler støttes ikke for SQL-databaser i Microsoft Fabric.
Du kan også bruke Azure Key Vaults som brannmurinnstillingen er aktivert for. Når du deaktiverer offentlig tilgang til Key Vault, kan du velge alternativet "Tillat klarerte Microsoft-tjenester å omgå denne brannmuren."
Trinn 5: Aktivere kryptering ved hjelp av kundeadministrerte nøkler
Når du har fullført forutsetningene, følger du fremgangsmåten i denne delen for å aktivere kundeadministrerte nøkler i Fabric-arbeidsområdet.
Fra Fabric-arbeidsområdet velger du Innstillinger for arbeidsområde.
Fra Innstillinger for arbeidsområde velger du Kryptering.
Aktiver Bruk kundeadministrerte nøkler.
I feltet Nøkkelidentifikator angir du den kundeadministrerte nøkkelidentifikatoren.
Velg Bruk.
Når du har fullført disse trinnene, krypteres arbeidsområdet med en kundeadministrert nøkkel. Dette betyr at alle data i Onelake er kryptert, og at eksisterende og fremtidige elementer i arbeidsområdet vil bli kryptert av den kundeadministrerte nøkkelen du brukte til oppsettet. Du kan se gjennom krypteringsstatusen Aktiv, Pågår eller Mislyktes i krypteringsfanen i innstillingene for arbeidsområdet. Elementer som kryptering pågår eller mislykkes for, er også oppført kategorisk. Nøkkelen må være aktiv i nøkkelhvelvet mens kryptering pågår (Status: Pågår). Oppdater siden for å vise den nyeste krypteringsstatusen. Hvis kryptering mislyktes for enkelte elementer i arbeidsområdet, kan du prøve å bruke en annen nøkkel på nytt.
Tilbakekalle tilgang
Hvis du vil oppheve tilgangen til data i et arbeidsområde som krypteres ved hjelp av en kundeadministrert nøkkel, må du tilbakekalle nøkkelen i Azure Key Vault. Innen 60 minutter etter at nøkkelen tilbakekalles, mislykkes lese- og skriveanrop til arbeidsområdet.
Du kan tilbakekalle en kundeadministrert krypteringsnøkkel ved å endre tilgangspolicyen ved å endre tillatelsene i nøkkelhvelvet eller ved å slette nøkkelen.
Hvis du vil gjenopprette tilgangen, gjenoppretter du tilgangen til den kundeadministrerte nøkkelen i Key Vault.
Note
Arbeidsområdet validerer ikke automatisk nøkkelen for SQL Database i Microsoft Fabric. I stedet må brukeren manuelt validere CMK for å gjenopprette tilgangen.
Deaktivere krypteringen
Hvis du vil deaktivere kryptering av arbeidsområdet ved hjelp av en kundeadministrert nøkkel, kan du gå til Deaktivering av innstillingerfor arbeidsområde Bruk kundeadministrerte nøkler. Arbeidsområdet forblir kryptert ved hjelp av Microsoft Managed-nøkler.
Note
Du kan ikke deaktivere kundeadministrerte nøkler mens kryptering for noen av Fabric-elementene i arbeidsområdet pågår.
Monitoring
Du kan spore forespørsler om krypteringskonfigurasjon for Fabric-arbeidsområdene ved hjelp av oppføringer i overvåkingsloggen. Følgende operasjonsnavn brukes i logger for sporing av endringer:
- ApplyWorkspaceEncryption
- DisableWorkspaceEncryption
- GetWorkspaceEncryption
Hensyn og begrensninger
Før du konfigurerer Fabric-arbeidsområdet med en kundeadministrert nøkkel, bør du vurdere følgende begrensninger:
Dataene som er oppført nedenfor, er ikke beskyttet med kundeadministrerte nøkler:
- Lakehouse-kolonnenavn, tabellformat, tabellkomprimering.
- Alle data som er lagret i Spark-klyngene (data som er lagret i midlertidige disker som en del av tilfeldig rekkefølge eller datasøl eller RDD-buffere i et spark-program), er ikke beskyttet. Dette inkluderer alle Spark Jobs fra Notebooks, Lakehouses, Spark Job Definitions, Lakehouse Table Load and Maintenance jobs, Shortcut Transforms, Fabric Materialized View Refresh.
- Jobbloggene som er lagret på loggserveren
- Biblioteker vedlagt som en del av miljøer eller lagt til som en del av Spark-økttilpasningen ved hjelp av magiske kommandoer, er ikke beskyttet
- Metadata som genereres når du oppretter en pipeline- og kopieringsjobb, for eksempel DB-navn, tabell, skjema
- Metadata for ML-modell og eksperiment, for eksempel modellnavn, versjon, måledata
- Lagerspørringer på objektutforsket og serverdelbuffer, som utestenges etter hver bruk
CMK støttes på alle F-SKU-er. Prøvekapasiteter kan ikke brukes til kryptering ved hjelp av CMK. CMK kan heller ikke aktiveres for arbeidsområder som har BYOK aktivert, og CMK-arbeidsområder kan heller ikke flyttes til kapasiteter som BYOK er aktivert for.
CMK kan aktiveres ved hjelp av Fabric-portalen og har ikke API-støtte.
CMK kan aktiveres og deaktiveres for arbeidsområdet mens krypteringsinnstillingen på leiernivå er aktivert. Når leierinnstillingen er deaktivert, kan du ikke lenger aktivere CMK for arbeidsområder i denne leieren eller deaktivere CMK for arbeidsområder som allerede har CMK aktivert i denne leieren. Data i arbeidsområder som aktiverte CMK før tenantinnstillingen ble slått av, forblir kryptert med den kundeadministrerte nøkkelen. Hold den tilknyttede nøkkelen aktiv for å kunne pakke ut data i arbeidsområdet.