Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
VAN TOEPASSING OP:
Azure Data Factory 
Azure Synapse Analytics
Aanbeveling
Probeer Data Factory uit in Microsoft Fabric, een alles-in-één analyseoplossing voor ondernemingen. Microsoft Fabric omvat alles, van gegevensverplaatsing tot gegevenswetenschap, realtime analyses, business intelligence en rapportage. Meer informatie over het gratis starten van een nieuwe proefversie .
Azure Data Factory codeert gegevens in rust, waaronder entiteitsdefinities en gegevens die zijn opgeslagen in de cache terwijl uitvoeringen plaatsvinden. Standaard worden gegevens versleuteld met een willekeurig gegenereerde, door Microsoft beheerde sleutel die uniek is toegewezen aan uw data factory. Voor extra beveiligingsgaranties kunt u Nu Bring Your Own Key (BYOK) inschakelen met de functie Door de klant beheerde sleutels in Azure Data Factory. Wanneer u een door de klant beheerde sleutel (CMK) opgeeft, gebruikt Data Factory zowel de fabriekssysteemsleutel als de CMK om klantgegevens te versleutelen. Wanneer een van deze ontbreekt, wordt toegang tot gegevens en factory geweigerd.
Azure Key Vault is vereist om door de klant beheerde sleutels op te slaan. U kunt uw eigen sleutels maken en deze opslaan in een sleutelkluis of u kunt de Azure Key Vault API's gebruiken om sleutels te genereren. Key Vault en Data Factory moeten zich in dezelfde Microsoft Entra-tenant en in dezelfde regio bevinden, maar ze kunnen zich in verschillende abonnementen bevinden. Zie Wat is Azure Key Vault? voor meer informatie over Azure Key Vault.
Over door de klant beheerde sleutels
In het volgende diagram ziet u hoe Data Factory gebruikmaakt van Microsoft Entra ID en Azure Key Vault om aanvragen te doen met behulp van de door de klant beheerde sleutel:
In de volgende lijst worden de genummerde stappen in het diagram uitgelegd:
- Een Azure Key Vault-beheerder verleent machtigingen voor versleutelingssleutels aan de beheerde identiteit die is gekoppeld aan de Data Factory
- Een Data Factory-beheerder schakelt de functie voor door klant beheerde sleutels in de datafabriek in.
- Data Factory maakt gebruik van de beheerde identiteit die is gekoppeld aan de factory om toegang tot Azure Key Vault te verifiëren via Microsoft Entra-id
- Data Factory verpakt de versleutelingssleutel voor de factory met de klantensleutel in Azure Key Vault
- Voor lees- en schrijfbewerkingen stuurt Data Factory aanvragen naar Azure Key Vault om de versleutelingssleutel van het account uit te pakken om versleutelings- en ontsleutelingsbewerkingen uit te voeren
Er zijn twee manieren om Klantenbeheer Sleutelversleuteling toe te voegen aan gegevensfabrieken. De ene is tijdens het aanmaken van de fabriek in het Azure-portaal en de andere is na het aanmaken van de fabriek, in de Data Factory-gebruikersinterface.
Vereisten: Azure Key Vault configureren en sleutels genereren
Voorlopig verwijderen en Niet wissen inschakelen op Azure Key Vault
Voor het gebruik van door de klant beheerde sleutels met Data Factory moeten op de Key Vault twee eigenschappen worden ingesteld, Voorlopig verwijderen en Niet leegmaken. Deze eigenschappen kunnen worden ingeschakeld met PowerShell of Azure CLI in een nieuwe of bestaande sleutelkluis. Voor informatie over het inschakelen van deze eigenschappen voor een bestaande sleutelkluis, zie Herstelbeheer van Azure Key Vault met voorlopig verwijderen en opschoning beveiliging.
Als u een nieuwe Azure Key Vault maakt via Azure Portal, kunnen Voorlopig verwijderen en Niet leegmaken als volgt worden ingeschakeld:
Data Factory-toegang verlenen tot Azure Key Vault
Zorg ervoor dat Azure Key Vault en Azure Data Factory zich in dezelfde Microsoft Entra-tenant en in dezelfde regio bevinden. U kunt toegangsbeleid of machtigingen voor toegangsbeheer gebruiken:
Toegangsbeleid - Selecteer Toegangsbeleid in uw sleutelkluis ->Toegangsbeleid toevoegen -> zoek naar uw beheerde identiteit van Azure Data Factory en verleen de Get, Unwrap Key, en Wrap Key machtigingen in de vervolgkeuzelijst voor Geheim machtigingen.
Toegangsbeheer : uw beheerde identiteit heeft twee rollen nodig in Toegangsbeheer: Key Vault Crypto Service Encryption User en Key Vault Secrets User. Selecteer in uw sleutelkluis Toegangsbeheer (IAM) ->+ Roltoewijzing toevoegen>. Selecteer een van de rollen en selecteer daarna Volgende. Selecteer onder Ledenbeheerde identiteit en selecteer vervolgens leden en zoek naar uw door Azure Data Factory beheerde identiteit. Selecteer vervolgens Beoordelen en toewijzen. Herhaal dit voor de tweede rol.
- Als u sleutelversleuteling met klantbeheer wilt toevoegen na het creëren van de fabriek in de Data Factory-gebruikersinterface, zorg ervoor dat de managed service identity (MSI) van de Data Factory de juiste machtigingen heeft in Key Vault.
- Als u door de klant beheerde sleutelversleuteling wilt toevoegen tijdens het aanmaken van de resource in Azure Portal, moet u ervoor zorgen dat de door de gebruiker toegewezen beheerde identiteit (UA-MI) de juiste machtigingen heeft voor Key Vault.
Door de klant beheerde sleutel genereren of uploaden naar Azure Key Vault
U kunt uw eigen sleutels maken en opslaan in een sleutelkluis. U kunt ook de Azure Key Vault-API's gebruiken om sleutels te genereren. Alleen RSA-sleutels worden ondersteund met Data Factory-versleuteling. RSA-HSM wordt ook ondersteund. Zie Over sleutels, geheimen en certificaten voor meer informatie.
Door de klant beheerde sleutels inschakelen
Na het aanmaken van een fabriek in de Data Factory UI
In deze sectie wordt het proces beschreven voor het toevoegen van door de klant beheerde sleutelversleuteling in de gebruikersinterface van Data Factory, nadat de factory is gemaakt.
Notitie
Een door de klant beheerde sleutel kan alleen in een lege data factory worden geconfigureerd. De datafabriek kan geen middelen bevatten, zoals gekoppelde services, pijplijnen en gegevensstromen. Het wordt aanbevolen om de door de klant beheerde sleutel direct in te schakelen nadat de fabriek is aangemaakt.
Belangrijk
Deze benadering werkt niet met fabrieken met beheerde virtuele netwerken. Overweeg de alternatieve route als u dergelijke factory's wilt versleutelen.
Zorg ervoor dat de Managed Service Identity (MSI) van data factory de machtigingen Get, Unwrap Key en Wrap Key heeft voor Key Vault.
Zorg ervoor dat de Data Factory leeg is. De Data Factory kan geen resources bevatten zoals gekoppelde services, pijplijnen en gegevensstromen. Voor nu resulteert het implementeren van de door de klant beheerde sleutel in een niet-lege fabriek in een fout.
Als u de sleutel-URI in Azure Portal wilt zoeken, gaat u naar Azure Key Vault en selecteert u de instelling Sleutels. Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven. Een sleutelversie selecteren om de instellingen weer te geven
Kopieer de waarde van het veld Sleutel-id, die de URI levert
Start Azure Data Factory Portal en ga met de navigatiebalk aan de linkerkant naar de Data Factory-beheerportal
Selecteer het pictogram Door klant beheerde sleutel
Voer de URI in voor de door de klant beheerde sleutel die u eerder hebt gekopieerd
Selecteer Opslaan en door klant beheerde versleuteling met sleutels is ingeschakeld voor Data Factory
Tijdens het maken van de fabriek in Azure Portal
In deze sectie worden de stappen beschreven voor het toevoegen van door de klant beheerde sleutelversleuteling in Azure Portal, tijdens de implementatie van de fabriek.
Voor het versleutelen van de factory moet Data Factory eerst de door de klant beheerde sleutel ophalen uit Key Vault. Omdat de implementatie van de factory nog steeds wordt uitgevoerd, is Managed Service Identity (MSI) nog niet beschikbaar voor verificatie met Key Vault. Om deze benadering te kunnen gebruiken, moet de klant een door de gebruiker toegewezen beheerde identiteit (UA-MI) toewijzen aan data factory. We zullen de rollen opgenomen in de UA-MI aannemen en authenticeren met Key Vault.
Zie Beheerde identiteitstypen en roltoewijzing voor door de gebruiker toegewezen beheerde identiteit voor meer informatie over door de gebruiker toegewezen beheerde identiteit.
Zorg ervoor dat door de gebruiker toegewezen beheerde identiteit (UA-MI) de machtigingen Get, Unwrap Key and Wrap Key heeft voor Key Vault
Schakel op het tabblad Geavanceerd het selectievak in voor versleuteling inschakelen met behulp van een door de klant beheerde sleutel
Geef de URL op voor de door de klant beheerde sleutel die is opgeslagen in Key Vault
Aanbeveling
Als u de sleutelversie niet doorgeeft in de URL na de laatste '/' (bijvoorbeeld:
https://mykeyvault.vault.azure.net/keys/cmk/), wordt de versie altijd standaard ingesteld op de meest recente als de sleutel in de toekomst wordt bijgewerkt.Dit wordt momenteel alleen ondersteund met behulp van Azure Portal.
Selecteer een geschikte door de gebruiker toegewezen beheerde identiteit om te verifiëren met Azure Key Vault.
Ga door met de inzet van uw fabriek.
Sleutelversie bijwerken
Wanneer u een nieuwe versie van een sleutel maakt, werkt u data factory bij om de nieuwe versie te gebruiken:
Zoek de URI voor de nieuwe sleutelversie via de Azure Key Vault-portal:
- Navigeer naar Azure Key Vault en selecteer de instelling Sleutels.
- Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven.
- Selecteer een sleutelversie om de instellingen weer te geven.
Kopieer de waarde van het veld Sleutel-id, die de URI levert.
Start de Azure Data Factory-portal en selecteer aan de linkerkant de Data Factory-beheerportal met behulp van de navigatiebalk.
Selecteer de door de klant beheerde sleutelinstelling .
Voer de URI in voor door de klant beheerde sleutel die u eerder hebt gekopieerd.
Selecteer Opslaan en Data Factory wordt nu versleuteld met de nieuwe sleutelversie.
Een andere sleutel gebruiken
Als u de sleutel wilt wijzigen die wordt gebruikt voor Data Factory-versleuteling, moet u de instellingen handmatig bijwerken in Azure Data Factory:
Zoek de URI voor de nieuwe sleutelversie via de Azure Key Vault-portal:
- Navigeer naar Azure Key Vault en selecteer de instelling Sleutels.
- Selecteer de gewenste sleutel en selecteer vervolgens de sleutel om de versies ervan weer te geven.
- Selecteer een sleutelversie om de instellingen weer te geven.
Kopieer de waarde van het veld Sleutel-id, die de URI levert.
Start de Azure Data Factory-portal en selecteer aan de linkerkant de Data Factory-beheerportal met behulp van de navigatiebalk.
Selecteer de door de klant beheerde sleutelinstelling .
Voer de URI in om te selecteren die u eerder hebt gekopieerd.
Selecteer Opslaan en Data Factory wordt nu versleuteld met de nieuwe sleutelversie.
Door de klant beheerde sleutels uitschakelen
Zodra de geselecteerde functie is ingeschakeld, kunt u de extra beveiligingsstap niet meer verwijderen. We verwachten altijd een door de klant verschafte sleutel om factory en gegevens te versleutelen.
Door de klant beheerde sleutel en continue integratie en continue implementatie
CMK-configuratie is standaard niet opgenomen in de ARM-sjabloon (Factory Azure Resource Manager). De door de klant beheerde sleutelversleutelingsinstellingen opnemen in de ARM-sjabloon voor continue integratie (CI/CD):
- Controleren of de factory zich in de Git-modus bevindt
- Navigeer naar het beheerportaal - sectie klantbeheer sleutel
- Controleer de optie Opnemen in ARM-sjabloon
De volgende instellingen worden toegevoegd in de ARM-sjabloon. Deze eigenschappen kunnen worden geparameteriseerd in pijplijnen voor continue integratie en levering door de configuratie van de Azure Resource Manager-parameters te bewerken
Notitie
Als u de versleutelingsinstelling toevoegt aan de ARM-sjablonen, wordt een instelling op fabrieksniveau toegevoegd waarmee andere instellingen op fabrieksniveau, zoals Git-configuraties, in andere omgevingen worden overschreven. Als u deze instellingen hebt ingeschakeld in een omgeving met verhoogde bevoegdheid, zoals UAT of PROD, raadpleegt u Globale parameters in CI/CD.
Gerelateerde inhoud
Doorloop de zelfstudies voor meer informatie over het gebruiken van Data Factory in andere scenario's.