Proteção de dados no Azure Stream Analytics
O Azure Stream Analytics é uma plataforma como serviço totalmente gerenciada que permite criar pipelines de análise em tempo real. Todo o trabalho pesado, como provisionamento de cluster, dimensionamento de nós para acomodar seu uso e gerenciamento de pontos de verificação internos, é gerenciado nos bastidores.
Ativos de dados privados armazenados
O Azure Stream Analytics persiste os seguintes metadados e dados para ser executado:
Definição de consulta e sua configuração relacionada
Funções ou agregações definidas pelo utilizador
Pontos de verificação necessários para o tempo de execução do Stream Analytics
Instantâneos de dados de referência
Detalhes de conexão dos recursos usados pelo seu trabalho do Stream Analytics
Residência de dados na região
O Azure Stream Analytics armazena dados de clientes e outros metadados descritos anteriormente. O Azure Stream Analytics armazena dados de clientes em uma única região por padrão, portanto, esse serviço atende automaticamente aos requisitos de residência de dados da região, incluindo os especificados na Central de Confiabilidade. Além disso, você pode optar por armazenar todos os ativos de dados (dados do cliente e outros metadados) relacionados ao seu trabalho de análise de fluxo em uma única região, criptografando-os em uma conta de armazenamento de sua escolha.
Encriptar os seus dados
O Stream Analytics emprega automaticamente os melhores padrões de criptografia em toda a sua infraestrutura para criptografar e proteger seus dados. Você pode confiar no Stream Analytics para armazenar todos os seus dados com segurança, para que não precise se preocupar com o gerenciamento da infraestrutura.
Se quiser usar chaves gerenciadas pelo cliente para criptografar seus dados, você pode usar sua própria conta de armazenamento (V1 ou V2 de uso geral) para armazenar quaisquer ativos de dados privados exigidos pelo tempo de execução do Stream Analytics. Sua conta de armazenamento pode ser criptografada conforme necessário. Nenhum dos seus ativos de dados privados é armazenado permanentemente pela infraestrutura do Stream Analytics.
Essa configuração deve ser definida no momento da criação do trabalho do Stream Analytics e não pode ser modificada durante todo o ciclo de vida do trabalho. A modificação ou exclusão do armazenamento que está sendo usado pelo Stream Analytics não é recomendada. Se você excluir sua conta de armazenamento, excluirá permanentemente todos os ativos de dados privados e isso fará com que seu trabalho falhe.
Não é possível atualizar ou girar chaves para sua conta de armazenamento usando o portal do Stream Analytics. Você pode atualizar as chaves usando as APIs REST. Você também pode se conectar à sua conta de armazenamento de trabalho usando autenticação de identidade gerenciada com permitir serviços confiáveis.
Se a conta de armazenamento que você deseja usar estiver em uma Rede Virtual do Azure, você deverá usar o modo de autenticação de identidade gerenciada com Permitir serviços confiáveis. Para obter mais informações, visite: Conectar trabalhos do Stream Analytics a recursos em uma rede virtual do Azure.
Configurar conta de armazenamento para dados privados
Criptografe sua conta de armazenamento para proteger todos os seus dados e escolha explicitamente a localização de seus dados privados.
Use as etapas a seguir para configurar sua conta de armazenamento para ativos de dados privados. Essa configuração é feita a partir do seu trabalho do Stream Analytics, não da sua conta de armazenamento.
Inicie sessão no portal do Azure.
Selecione Criar um recurso no canto superior esquerdo do portal do Azure.
Selecione Trabalho do Analytics>Stream Analytics na lista de resultados.
Preencha a página de trabalho do Stream Analytics com os detalhes necessários, como nome, região e escala.
Marque a caixa de seleção Proteger todos os ativos de dados privados necessários para este trabalho em minha conta de armazenamento.
Selecione uma conta de armazenamento na sua assinatura. Essa configuração não pode ser modificada durante todo o ciclo de vida do trabalho. Também não é possível adicionar essa opção depois que o trabalho é criado.
Para autenticar com uma cadeia de conexão, selecione Cadeia de conexão na lista suspensa Modo de autenticação. A chave da conta de armazenamento é preenchida automaticamente a partir da sua subscrição.
Para autenticar com a Identidade Gerenciada, selecione Identidade Gerenciada na lista suspensa Modo de autenticação. Se você escolher Identidade Gerenciada, precisará adicionar seu trabalho do Stream Analytics à lista de controle de acesso da conta de armazenamento com a função de Colaborador de Dados de Blob de Armazenamento . Se você não conceder acesso ao trabalho, ele não poderá executar nenhuma operação. Para obter mais informações sobre como conceder acesso, consulte Atribuir uma função do Azure para acesso a dados de blob.
Ativos de dados privados armazenados pelo Stream Analytics
Todos os dados privados que precisam ser mantidos pelo Stream Analytics são armazenados em sua conta de armazenamento. Exemplos de ativos de dados privados incluem:
Consultas que você criou e suas configurações relacionadas
Funções definidas pelo utilizador
Pontos de verificação necessários para o tempo de execução do Stream Analytics
Instantâneos de dados de referência
Os detalhes de conexão dos seus recursos, que são usados pelo seu trabalho do Stream Analytics, também são armazenados. Criptografe sua conta de armazenamento para proteger todos os seus dados.
Permite a residência de dados
Você pode usar esse recurso para impor quaisquer requisitos de residência de dados que você tenha, fornecendo uma conta de armazenamento de acordo.