Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:✅ Magazyn w systemie Microsoft Fabric
Magazyn danych Fabric domyślnie szyfruje wszystkie dane w spoczynku, zapewniając ochronę informacji przy użyciu kluczy zarządzanych przez Microsoftem.
Ponadto można zwiększyć poziom zabezpieczeń przy użyciu kluczy zarządzanych przez klienta (CMK), zapewniając bezpośrednią kontrolę nad kluczami szyfrowania, które chronią dane i metadane.
Po włączeniu klucza zarządzanego przez klienta (CMK) dla obszaru roboczego, który zawiera Fabric Data Warehouse, zarówno dane OneLake, jak i metadane magazynu są chronione przy użyciu kluczy szyfrowania hostowanych w usłudze Azure Key Vault. Za pomocą kluczy zarządzanych przez klienta możesz połączyć obszar roboczy usługi Fabric bezpośrednio z własną usługą Azure Key Vault. Zachowasz pełną kontrolę nad tworzeniem kluczy, dostępem i rotacją, zapewniając zgodność z zasadami zabezpieczeń i ładu organizacji.
Aby rozpocząć konfigurowanie klucza zarządzanego przez klienta dla obszaru roboczego usługi Fabric, zobacz Klucze zarządzane przez klienta dla obszarów roboczych usługi Fabric.
Jak działa szyfrowanie danych w usłudze Fabric Data Warehouse
Usługa Fabric Data Warehouse korzysta z wielowarstwowego modelu szyfrowania, aby zapewnić ochronę danych przechowywanych i tymczasowych podczas używania.
Fronton SQL: Szyfruje metadane (tabele, widoki, funkcje, procedury składowane).
Pula obliczeniowa zaplecza: Używa efemerycznych pamięci podręcznych; żadne dane nie są przechowywane.
OneLake: Wszystkie utrwalone dane są szyfrowane.
Szyfrowanie warstwy frontonu SQL
Po włączeniu klucza KMK dla obszaru roboczego, usługa Fabric Data Warehouse używa również klucza zarządzanego przez klienta do szyfrowania metadanych, takich jak definicje tabel, procedury składowane, funkcje i informacje o schemacie.
Dzięki temu zarówno twoje dane w usłudze OneLake, jak i metadane danych osobowych w magazynie są szyfrowane przy użyciu własnego klucza.
Szyfrowanie warstwy puli obliczeniowej zaplecza
Zaplecze obliczeniowe systemu przetwarza zapytania w tymczasowym środowisku opartym na pamięci podręcznej. Żadne dane nie są nigdy przechowywane w tych pamięciach podręcznych. Ponieważ Fabric Warehouse usuwa całą zawartość pamięci podręcznej backendu po użyciu, dane przejściowe nigdy nie pozostają po zakończeniu sesji.
Ze względu na ich krótkotrwały charakter pamięci podręczne zaplecza są szyfrowane tylko przy użyciu kluczy zarządzanych przez Microsoft i nie podlegają szyfrowaniu przez CMK ze względów wydajnościowych. Bufory pamięci zaplecza są automatycznie czyszczone i ponownie generowane w ramach normalnych operacji obliczeniowych.
Szyfrowanie warstwy OneLake
Wszystkie dane przechowywane w usłudze OneLake są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.
Po włączeniu klucza CMK klucz zarządzany przez klienta (przechowywany w usłudze Azure Key Vault) jest używany do szyfrowania kluczy szyfrowania danych (DEK), zapewniając dodatkową kopertę ochrony. Utrzymujesz kontrolę nad rotacją kluczy, zasadami dostępu i inspekcją.
Ważne
W obszarach roboczych z obsługą CMK wszystkie dane w OneLake są szyfrowane przy użyciu kluczy zarządzanych przez klienta.
Ograniczenia
Przed włączeniem CMK dla magazynu danych Fabric zapoznaj się z następującymi zagadnieniami:
Opóźnienie propagacji klucza: jeśli klucz jest obracany, aktualizowany lub zastępowany w usłudze Azure Key Vault, może wystąpić opóźnienie propagacji przed warstwą SQL systemu Fabric. W pewnych warunkach to opóźnienie może potrwać do 20 minut, zanim połączenia SQL zostaną ponownie nawiązane z nowym kluczem.
Buforowanie zaplecza: Dane przetwarzane przez pulę obliczeniową zaplecza Fabric nie są szyfrowane przy użyciu CMK (klucza zarządzanego przez klienta) ze względu na krótkotrwały charakter pamięci operacyjnej. Fabric automatycznie czyści buforowane dane po każdym użyciu.
Dostępność usługi podczas odwoływania kluczy: jeśli klucz CMK stanie się niedostępny lub odwołany, operacje odczytu i zapisu w obszarze roboczym nie powiodą się, dopóki dostęp do klucza nie zostanie przywrócony.
Obsługa DMV: Ponieważ konfiguracja Klucza Zarządzanego przez Klienta (CMK) jest ustalona i skonfigurowana na poziomie obszaru roboczego, nie można użyć
sys.dm_database_encryption_keysdo wyświetlania stanu szyfrowania bazy danych; odbywa się to wyłącznie na poziomie obszaru roboczego.Ograniczenia zapory: CMK nie jest obsługiwane, gdy zapora Azure Key Vault jest włączona.
Zapytania w edytorze zapytań Object Explorer portalu Fabric nie są szyfrowane za pomocą Klucza Zarządzanego przez Klienta (CMK).