Poznámka
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete sa skúsiť prihlásiť alebo zmeniť adresáre.
Na prístup k tejto stránke sa vyžaduje oprávnenie. Môžete skúsiť zmeniť adresáre.
Vzťahuje sa na:✅ Warehouse v službe Microsoft Fabric
Fabric Data Warehouse predvolene šifruje všetky uložené údaje, čím zabezpečuje, že vaše informácie sú chránené prostredníctvom kľúčov spravovaných spoločnosťou Microsoft.
Okrem toho môžete zlepšiť stav zabezpečenia pomocou kľúčov spravovaných zákazníkom (CMK), ktoré vám poskytnú priamu kontrolu nad šifrovacími kľúčmi, ktoré chránia vaše údaje a metaúdaje.
Keď povolíte CMK pre pracovný priestor, ktorý obsahuje sklad údajov Fabric, údaje OneLake aj metaúdaje skladu sú chránené pomocou šifrovacích kľúčov hosťovaných v Azure Key Vault. Pomocou kľúčov spravovaných zákazníkom môžete svoj pracovný priestor služby Fabric pripojiť priamo k vlastnému Azure Key Vault. Zachováte si úplnú kontrolu nad vytváraním, prístupom a rotáciou kľúčov, čím zabezpečujete súlad s politikami zabezpečenia a riadenia vašej organizácie.
Ak chcete začať s konfiguráciou CMK pre pracovný priestor služby Fabric, pozrite si tému Kľúče spravované zákazníkom pre pracovné priestory služby Fabric.
Ako funguje šifrovanie údajov v Fabric Data Warehouse
Fabric Data Warehouse sa riadi viacvrstvovým modelom šifrovania, aby sa zabezpečilo, že vaše údaje zostanú chránené v pokoji a prechodne pri používaní.
Rozhranie SQL: Šifruje metadáta (tabuľky, zobrazenia, funkcie, uložené procedúry).
Backendový výpočtový fond: Používa efemérne vyrovnávacie pamäte; Žiadne údaje nezostanú v pokoji.
Jedno jazero: Všetky trvalé údaje sú šifrované.
Šifrovanie front-end vrstvy SQL
Keď je pre pracovný priestor povolený CMK, Fabric Data Warehouse používa aj kľúč spravovaný zákazníkom na šifrovanie metaúdajov, ako sú definície tabuliek, uložené procedúry, funkcie a informácie o schéme.
Tým sa zabezpečí, že vaše údaje v OneLake aj metadáta nesúce osobné údaje v sklade budú šifrované vaším vlastným kľúčom.
Šifrovanie vrstvy výpočtového fondu servera
Výpočtový backend služby Fabric spracováva dotazy v efemérnom prostredí založenom na vyrovnávacej pamäti. V týchto vyrovnávacích pamätiach nikdy nezostanú žiadne údaje. Keďže Fabric Warehouse po použití vyradí všetok obsah vyrovnávacej pamäte backendu, prechodné údaje sa nikdy neprechovajú po uplynutí životnosti relácie.
Z dôvodu ich krátkodobej povahy sú backendové vyrovnávacie pamäte šifrované iba pomocou kľúčov spravovaných spoločnosťou Microsoft a z dôvodu výkonu nepodliehajú šifrovaniu pomocou CMK. Backendové vyrovnávacie pamäte sa automaticky vymažú a znova vygenerujú ako súčasť bežných výpočtových operácií.
Šifrovanie vrstvy OneLake
Všetky údaje uložené vo OneLake sú predvolene šifrované pomocou kľúčov spravovaných spoločnosťou Microsoft.
Keď je CMK povolený, váš kľúč spravovaný zákazníkom (uložený v Azure Key Vault) sa používa na šifrovanie šifrovacích kľúčov údajov (DEK), čo poskytuje ďalšiu ochranu. Zachováte si kontrolu nad rotáciou kľúčov, politikami prístupu a auditovaním.
Dôležité
V pracovných priestoroch s podporou CMK sú všetky údaje OneLake šifrované pomocou kľúčov spravovaných zákazníkom.
Obmedzenia
Pred povolením CMK pre sklad údajov štruktúry si prečítajte nasledujúce aspekty:
Oneskorenie šírenia kľúča: Keď sa kľúč otočí, aktualizuje alebo nahradí v Azure Key Vault, môže dôjsť k oneskoreniu šírenia pred vrstvou SQL služby Fabric. Za určitých podmienok môže toto oneskorenie trvať až 20 minút, kým sa pripojenia SQL obnovia s novým kľúčom.
Ukladanie do vyrovnávacej pamäte back-endu: Údaje spracované backendovým výpočtovým fondom služby Fabric nie sú šifrované pomocou CMK v uloženom stave z dôvodu jeho krátkodobej povahy v pamäti. Fabric automaticky vyradí údaje z vyrovnávacej pamäte po každom použití.
Dostupnosť služby počas odvolania kľúča: Ak sa kľúč CMK stane neprístupným alebo odvolaným, operácie čítania a zápisu v pracovnom priestore zlyhajú, kým sa neobnoví prístup ku kľúču.
Podpora DMV: Keďže konfigurácia CMK je vytvorená a nakonfigurovaná na úrovni pracovného priestoru, nemôžete ju použiť
sys.dm_database_encryption_keysna zobrazenie stavu šifrovania databázy, čo sa deje výlučne na úrovni pracovného priestoru.Obmedzenia brány firewall: CMK nie je podporovaný, keď je povolená brána firewall Azure Key Vault.
Dotazy v editore dotazov portálu Fabric Object Explorer nie sú šifrované pomocou CMK.