Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Microsoft Fabric versleutelt alle data-at-rest met behulp van door Microsoft beheerde sleutels. Met door de klant beheerde sleutels voor Fabric-werkruimten kunt u uw Azure Key Vault-sleutels gebruiken om een andere beveiligingslaag toe te voegen aan de gegevens in uw Microsoft Fabric-werkruimten, inclusief alle gegevens in OneLake. Een door de klant beheerde sleutel biedt meer flexibiliteit, zodat u de rotatie kunt beheren, de toegang kunt beheren en de gebruikscontrole kunt beheren. Het helpt organisaties ook te voldoen aan de behoeften van gegevensbeheer en te voldoen aan de normen voor gegevensbescherming en versleuteling.
Hoe door de klant beheerde sleutels werken
Alle Fabric-gegevensarchieven worden in rust versleuteld met door Microsoft beheerde sleutels. Door de klant beheerde sleutels maken gebruik van envelopversleuteling, waarbij een Sleutelversleutelingssleutel (KEK) een DEK (Data Encryption Key) versleutelt. Wanneer u door de klant beheerde sleutels gebruikt, versleutelt de door Microsoft beheerde DEK uw gegevens en wordt de DEK versleuteld met behulp van uw door de klant beheerde KEK. Door een KEK te gebruiken die Key Vault nooit verlaat, kunnen de gegevensversleutelingssleutels zelf worden versleuteld en beheerd. Dit zorgt ervoor dat alle inhoud van klanten in een cmk-werkruimte wordt versleuteld met behulp van uw door de klant beheerde sleutels.
Versleuteling inschakelen met door de klant beheerde sleutels voor uw werkruimte
Werkruimtebeheerders kunnen versleuteling instellen met behulp van CMK op werkruimteniveau. Zodra de werkruimtebeheerder de instelling in de portal inschakelt, wordt alle inhoud van de klant die in die werkruimte is opgeslagen, versleuteld met behulp van de opgegeven CMK. CMK kan worden geïntegreerd met het toegangsbeleid van AKV en op rollen gebaseerd toegangsbeheer (RBAC), zodat u flexibiliteit hebt om gedetailleerde machtigingen te definiëren op basis van het beveiligingsmodel van uw organisatie. Als u ervoor kiest om CMK-versleuteling later uit te schakelen, wordt de werkruimte teruggezet naar het gebruik van door Microsoft beheerde sleutels. U kunt de sleutel ook op elk gewenst moment intrekken en de toegang tot de versleutelde gegevens wordt binnen een uur na intrekking geblokkeerd. Met granulariteit en controle op werkruimteniveau verhoogt u de beveiliging van uw gegevens in Fabric.
Ondersteunde items
Door de klant beheerde sleutels worden momenteel ondersteund voor de volgende Fabric-items:
- Lakehouse
- Magazijn
- Notitieboek
- Milieu
- Spark-taakdefinitie
- API voor GraphQL
- ML-model
- Experiment
- Pipeline
- Gegevensstroom
- Industrieoplossingen
- SQL Database (voorbeeld)
Deze functie kan niet worden ingeschakeld voor een werkruimte die niet-ondersteunde items bevat. Wanneer door de klant beheerde sleutelversleuteling voor een Fabric-werkruimte is ingeschakeld, kunnen alleen ondersteunde items in die werkruimte worden gemaakt. Als u niet-ondersteunde items wilt gebruiken, maakt u deze in een andere werkruimte waarvoor deze functie niet is ingeschakeld.
Versleuteling configureren met door de klant beheerde sleutels voor uw werkruimte
Door de klant beheerde sleutel voor Fabric-werkruimten vereist een initiële configuratie. Deze instelling omvat het inschakelen van de tenantinstelling voor Fabric-versleuteling, het configureren van Azure Key Vault en het verlenen van toegang aan de CMK-app voor het Fabric-platform tot Azure Key Vault. Zodra de installatie is voltooid, kan een gebruiker met een beheerderwerkruimerol de functie inschakelen op de werkruimte.
Stap 1: De Fabric-tenantinstelling inschakelen
Een Fabric-beheerder moet ervoor zorgen dat de instelling Door de klant beheerde sleutels toepassen is ingeschakeld. Zie het artikel Over de instelling van de versleutelingstenant voor meer informatie.
Stap 2: Een service-principal maken voor de CMK-app voor het Fabric-platform
Fabric maakt gebruik van de Fabric Platform CMK-app voor toegang tot uw Azure Key Vault. De app werkt alleen als er een service-principal voor de tenant wordt gemaakt. Dit proces wordt uitgevoerd door een gebruiker met Microsoft Entra ID-bevoegdheden, zoals een cloudtoepassingsbeheerder.
Volg de instructies in Maak een bedrijfsapplicatie van een multitenante applicatie in Microsoft Entra ID om een service-principal te maken voor een applicatie genaamd Fabric Platform CMK met app-ID 61d6811f-7544-4e75-a1e6-1c59c0383311 in uw Microsoft Entra ID-tenant.
Stap 3: Azure Key Vault configureren
U moet uw Key Vault zo configureren dat Fabric er toegang toe heeft. Deze stap wordt uitgevoerd door een gebruiker met Key Vault-bevoegdheden, zoals een Key Vault-beheerder. Zie Azure-beveiligingsrollen voor meer informatie.
Open Azure Portal en navigeer naar uw Key Vault. Als u geen Key Vault hebt, volgt u de instructies in Een sleutelkluis maken met behulp van Azure Portal.
Configureer de volgende instellingen in uw Key Vault:
- Voorlopig verwijderen - ingeschakeld
- Verwijderingsbeveiliging - ingeschakeld
Open toegangsbeheer (IAM) in uw Key Vault.
Selecteer Roltoewijzing toevoegen in de vervolgkeuzelijst Toevoegen.
Selecteer het tabblad Leden en klik vervolgens op Leden selecteren.
Zoek in het deelvenster Selecteer leden naar Fabric Platform CMK
Selecteer de Fabric Platform CMK-app en selecteer vervolgens.
Selecteer het tabblad Rol en zoek naar Key Vault Crypto Service Encryption User of een rol waarmee sleutelmachtigingen kunnen worden opgehaald, verpakt en uitgetrokken .
Selecteer Key Vault Crypto Service Encryption User.
Selecteer Beoordelen en toewijzen en selecteer Vervolgens Beoordelen en toewijzen om uw keuze te bevestigen.
Stap 4: Een Azure Key Vault-sleutel maken
Als u een Azure Key Vault-sleutel wilt maken, volgt u de instructies in Een sleutelkluis maken met behulp van Azure Portal.
Key Vault-vereisten
Fabric ondersteunt alleen door de klant beheerde versieloze sleutels. Dit zijn sleutels in de indeling https://{vault-name}.vault.azure.net/{key-type}/{key-name} voor kluizen en https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} voor beheerde HSM. Fabric controleert de sleutelkluis dagelijks op een nieuwe versie en gebruikt de nieuwste versie die beschikbaar is. Wacht 24 uur voordat u de oudere versie uitschakelt om te voorkomen dat u geen toegang hebt tot gegevens in de werkruimte als er een nieuwe sleutel is aangemaakt.
Key Vault en beheerde HSM moeten zowel soft-delete als opschoningsbescherming ingeschakeld hebben en de sleutel moet van het RSA- of RSA-HSM-type zijn. De ondersteunde sleutelgrootten zijn:
- 2048-bits
- 3.072 bit
- 4.096-bits
Zie Over sleutels voor meer informatie.
Opmerking
4096-bits sleutels worden niet ondersteund voor SQL-database in Microsoft Fabric.
U kunt ook Azure Key Vaults gebruiken waarvoor de firewallinstelling is ingeschakeld. Wanneer u openbare toegang tot de Sleutelkluis uitschakelt, kunt u de optie 'Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen' kiezen.
Stap 5: Versleuteling inschakelen met door de klant beheerde sleutels
Nadat u de vereisten hebt voltooid, volgt u de stappen in deze sectie om door de klant beheerde sleutels in uw Fabric-werkruimte in te schakelen.
Ga naar de Werkruimte-instellingen vanuit uw Fabric-werkruimte.
Selecteer Versleuteling in het deelvenster Werkruimte-instellingen.
Schakel Klantenbeheerde sleutels toepassen in.
Voer in het veld Sleutel-id uw door de klant beheerde sleutel-id in.
Selecteer de optie Toepassen.
Zodra u deze stappen hebt voltooid, wordt uw werkruimte versleuteld met een door de klant beheerde sleutel. Dit betekent dat alle gegevens in Onelake worden versleuteld en dat bestaande en toekomstige items in de werkruimte worden versleuteld door de door de klant beheerde sleutel die u voor de installatie hebt gebruikt. U kunt de versleutelingsstatus Actief, Wordt uitgevoerd of Mislukt bekijken op het tabblad Versleuteling in werkruimte-instellingen. Items waarvoor versleuteling wordt uitgevoerd of mislukt, worden ook categorisch weergegeven. De sleutel moet actief blijven in de sleutelkluis terwijl versleuteling wordt uitgevoerd (status: wordt uitgevoerd). Vernieuw de pagina om de meest recente versleutelingsstatus weer te geven. Als versleuteling is mislukt voor sommige items in de werkruimte, kunt u het opnieuw proberen met een andere sleutel.
Toegang intrekken
Als u de toegang tot gegevens in een werkruimte wilt intrekken die is versleuteld met behulp van een door de klant beheerde sleutel, trekt u de sleutel in de Azure Key Vault in. Binnen 60 minuten vanaf het moment dat de sleutel wordt ingetrokken, mislukt het lezen en schrijven van aanroepen naar de werkruimte.
U kunt een door de klant beheerde versleutelingssleutel intrekken door het toegangsbeleid te wijzigen, door de machtigingen voor de sleutelkluis te wijzigen of door de sleutel te verwijderen.
Als u de toegang wilt herstellen, herstelt u de toegang tot de door de klant beheerde sleutel in de Sleutelkluis.
Opmerking
De sleutel voor SQL Database in Microsoft Fabric wordt niet automatisch opnieuw gevalideerd in de werkruimte. In plaats daarvan moet de gebruiker de CMK handmatig opnieuwvalideren om de toegang te herstellen.
De versleuteling uitschakelen
Als u het versleutelen van de werkruimte wilt uitschakelen met een door de klant beheerde sleutel, gaat u naar Werkruimte-instellingen en schakelt u Door de klant beheerde sleutels toepassen uit. De werkruimte blijft versleuteld met behulp van Door Microsoft beheerde sleutels.
Opmerking
U kunt door de klant beheerde sleutels niet uitschakelen terwijl versleuteling voor een van de Fabric-items in uw werkruimte wordt uitgevoerd.
Controle
U kunt versleutelingsconfiguratieaanvragen voor uw Fabric-werkruimten bijhouden door vermeldingen in het auditlogboek. De volgende bewerkingsnamen worden gebruikt in auditlogboeken:
- ApplyWorkspaceEncryption
- DisableWorkspaceEncryption
- GetWorkspaceEncryption
Overwegingen en beperkingen
Voordat u uw Fabric-werkruimte configureert met een door de klant beheerde sleutel, moet u rekening houden met de volgende beperkingen:
De onderstaande gegevens zijn niet beveiligd met door de klant beheerde sleutels:
- Lakehouse-kolomnamen, tabelindeling, tabelcompressie.
- Alle gegevens die zijn opgeslagen in de Spark-clusters (gegevens die zijn opgeslagen in tijdelijke schijven als onderdeel van willekeurige volgorde of gegevenslekken of RDD-caches in een Spark-toepassing) zijn niet beveiligd. Dit omvat alle Spark-taken van notebooks, Lakehouses, Spark-taakdefinities, taken voor laden en onderhoud van Lakehouse-tabellen, transformaties van snelkoppelingen, vernieuwing van gematerialiseerde weergaven van Fabric.
- De taaklogboeken die zijn opgeslagen op de geschiedenisserver
- Bibliotheken die zijn gekoppeld als onderdeel van omgevingen of worden toegevoegd als onderdeel van de Spark-sessieaanpassing met behulp van magic-opdrachten zijn niet beveiligd
- Metagegevens die worden gegenereerd bij het maken van een pijplijn- en kopieertaak, zoals DB-naam, tabel, schema
- Metagegevens van ML-model en experiment, zoals de modelnaam, versie, metrische gegevens
- Warehouse-query's op Object Explored en back-end cache, die na elk gebruik wordt geleegd uit het geheugen
CMK wordt ondersteund voor alle F-SKU's. Evaluatiecapaciteiten kunnen niet worden gebruikt voor versleuteling met behulp van CMK. CMK kan niet worden ingeschakeld voor werkruimten waarvoor BYOK is ingeschakeld en CMK-werkruimten kunnen niet worden verplaatst naar capaciteiten waarvoor BYOK is ingeschakeld.
CMK kan worden ingeschakeld met behulp van de Fabric-portal en heeft geen API-ondersteuning.
CMK kan worden ingeschakeld en uitgeschakeld voor de werkruimte terwijl de versleutelingsinstelling op tenantniveau is ingeschakeld. Zodra de tenantinstelling is uitgeschakeld, kunt u CMK niet meer inschakelen voor werkruimten in die tenant of CMK uitschakelen voor werkruimten waarvoor CMK al is ingeschakeld in die tenant. Gegevens in werkruimten waarvoor CMK is ingeschakeld voordat de tenantinstelling werd uitgeschakeld, blijven versleuteld met de door de klant beheerde sleutel. Houd de bijbehorende sleutel actief om gegevens in die werkruimte uit te pakken.