Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se para:✅ Armazém no Microsoft Fabric
O Fabric Data Warehouse criptografa todos os dados em repouso por padrão, garantindo que suas informações estejam protegidas por meio de chaves gerenciadas pela Microsoft.
Além disso, você pode melhorar sua postura de segurança usando chaves gerenciadas pelo cliente (CMK), oferecendo controle direto sobre as chaves de criptografia que protegem seus dados e metadados.
Quando você habilita a CMK para um espaço de trabalho que contém um Fabric Data Warehouse, os dados do OneLake e os metadados do depósito são protegidos usando suas chaves de criptografia hospedadas no Azure Key Vault. Com chaves gerenciadas pelo cliente, você pode conectar seu espaço de trabalho do Fabric diretamente ao seu próprio Cofre de Chaves do Azure. Você mantém controle total sobre a criação, o acesso e a rotação de chaves, garantindo a conformidade com as políticas de segurança e governança da sua organização.
Para começar a configurar a CMK para o seu espaço de trabalho Fabric, consulte Chaves geridas pelo cliente para espaços de trabalho do Fabric.
Como funciona a criptografia de dados no Fabric Data Warehouse
O Fabric Data Warehouse segue um modelo de criptografia em várias camadas para garantir que seus dados permaneçam protegidos em repouso e transitórios em uso.
SQL Frontend: Criptografa metadados (tabelas, exibições, funções, procedimentos armazenados).
Pool de computação de back-end: Utiliza caches efêmeros; nenhum dado é deixado em repouso.
OneLake: Todos os dados persistentes são criptografados.
Criptografia da camada de front-end SQL
Quando a CMK está habilitada para o espaço de trabalho, o Fabric Data Warehouse também usa sua chave gerenciada pelo cliente para criptografar metadados, como definições de tabela, procedimentos armazenados, funções e informações de esquema.
Isso garante que os seus dados no OneLake e os metadados que contêm dados pessoais no armazém de dados sejam criptografados com a sua própria chave.
Criptografia da camada de agrupamento de processamento de back-end
O back-end de computação do fabric processa consultas num ambiente temporário baseado em cache. Nenhum dado é deixado em repouso nesses caches. Como o Fabric Warehouse remove todo o conteúdo do cache de back-end após o uso, os dados transitórios nunca persistem além do tempo de vida da sessão.
Devido à sua natureza de curta duração, os caches de back-end são criptografados apenas com chaves gerenciadas pela Microsoft e não estão sujeitos à criptografia pela CMK, por motivos de desempenho. Os caches de back-end são automaticamente limpos e regenerados como parte das operações normais de computação.
Criptografia de camada OneLake
Todos os dados armazenados no OneLake são criptografados em repouso usando chaves gerenciadas pela Microsoft por padrão.
Quando a CMK está habilitada, sua chave gerenciada pelo cliente (armazenada no Cofre de Chaves do Azure) é usada para criptografar as chaves de criptografia de dados (DEKs), fornecendo um envelope adicional de proteção. Você mantém o controle sobre a rotação de chaves, políticas de acesso e auditoria.
Importante
Em espaços de trabalho habilitados para CMK, todos os dados do OneLake são criptografados usando suas chaves gerenciadas pelo cliente.
Limitações
Antes de habilitar a CMK para seu Fabric Data Warehouse, analise as seguintes considerações:
Atraso de propagação de chave: quando uma chave é girada, atualizada ou substituída no Cofre de Chaves do Azure, pode haver um atraso de propagação antes da camada SQL do Fabric. Em determinadas condições, esse atraso pode levar até 20 minutos antes que as conexões SQL sejam restabelecidas com a nova chave.
Cache de backend: os dados processados pelo pool de computação de backend do Fabric não são criptografados com CMK quando em repouso, devido à sua natureza temporária na memória. A malha remove automaticamente os dados armazenados em cache após cada uso.
Disponibilidade do serviço durante a revogação da chave: se a CMK ficar inacessível ou revogada, as operações de leitura e gravação no espaço de trabalho falharão até que o acesso à chave seja restaurado.
Suporte a DMV: Como a configuração CMK é estabelecida e configurada no nível do espaço de trabalho, você não pode usar
sys.dm_database_encryption_keyspara exibir o status de criptografia do banco de dados, isso acontece exclusivamente no nível do espaço de trabalho.Restrições de firewall: a CMK não é suportada quando o firewall do Cofre de Chaves do Azure está habilitado.
As consultas no editor de consultas do portal Fabric, no Explorador de Objetos, não são criptografadas com o CMK.