Dataskydd i Azure Stream Analytics

  • Artikel

Azure Stream Analytics är en fullständigt hanterad plattform som en tjänst som gör att du kan skapa analyspipelines i realtid. Alla tunga lyft, till exempel klusteretablering, skalning av noder för att hantera din användning och hantering av interna kontrollpunkter, hanteras i bakgrunden.

Privata datatillgångar som lagras

Azure Stream Analytics bevarar följande metadata och data för att kunna köras:

  • Frågedefinition och deras relaterade konfiguration

  • Användardefinierade funktioner eller aggregeringar

  • Kontrollpunkter som krävs av Stream Analytics-körningen

  • Ögonblicksbilder av referensdata

  • Anslutningsinformation om de resurser som används av Stream Analytics-jobbet

In-Region Data Residency

Azure Stream Analytics lagrar kunddata och andra metadata som beskrivs ovan. Kunddata lagras av Azure Stream Analytics i en enda region som standard, så den här tjänsten uppfyller automatiskt kraven för regiondatahemvist, inklusive de som anges i Säkerhetscenter. Dessutom kan du välja att lagra alla datatillgångar (kunddata och andra metadata) som är relaterade till ditt stream analytics-jobb i en enda region genom att kryptera dem i ett lagringskonto som du väljer.

Kryptera dina data

Stream Analytics använder automatiskt förstklassiga krypteringsstandarder i infrastrukturen för att kryptera och skydda dina data. Du kan helt enkelt lita på att Stream Analytics lagrar alla dina data på ett säkert sätt så att du inte behöver bekymra dig om att hantera infrastrukturen.

Om du vill använda kundhanterade nycklar för att kryptera dina data kan du använda ditt eget lagringskonto (generell användning V1 eller V2) för att lagra alla privata datatillgångar som krävs av Stream Analytics-körningen. Ditt lagringskonto kan krypteras efter behov. Ingen av dina privata datatillgångar lagras permanent av Stream Analytics-infrastrukturen.

Den här inställningen måste konfigureras när Stream Analytics-jobbet skapas och kan inte ändras under jobbets livscykel. Ändring eller borttagning av lagring som används av Stream Analytics rekommenderas inte. Om du tar bort ditt lagringskonto tar du bort alla privata datatillgångar permanent, vilket gör att jobbet misslyckas.

Det går inte att uppdatera eller rotera nycklar till ditt lagringskonto med Stream Analytics-portalen. Du kan uppdatera nycklarna med hjälp av REST-API:erna. Du kan också ansluta till ditt jobblagringskonto med hjälp av hanterad identitetsautentisering med tillåtna betrodda tjänster.

Om lagringskontot som du vill använda finns i en Azure-Virtual Network måste du använda läget för hanterad identitetsautentisering med Tillåt betrodda tjänster. Mer information finns i: Ansluta Stream Analytics-jobb till resurser i en Azure Virtual Network (VNet).

Konfigurera lagringskonto för privata data

Kryptera ditt lagringskonto för att skydda alla dina data och välj uttryckligen platsen för dina privata data.

Använd följande steg för att konfigurera ditt lagringskonto för privata datatillgångar. Den här konfigurationen görs från ditt Stream Analytics-jobb, inte från ditt lagringskonto.

  1. Logga in på Azure-portalen.

  2. Klicka på Skapa en resurs längst upp till vänster i Azure-portalen.

  3. Välj Analytics>Stream Analytics-jobb i resultatlistan.

  4. Fyll i Stream Analytics-jobbsidan med nödvändig information, till exempel namn, region och skala.

  5. Markera kryssrutan Secure all private data assets needed by this job in my Storage account (Skydda alla privata datatillgångar som krävs av det här jobbet i mitt lagringskonto).

  6. Välj ett lagringskonto från din prenumeration. Observera att den här inställningen inte kan ändras under jobbets livscykel. Du kan inte heller lägga till det här alternativet när jobbet har skapats.

  7. Om du vill autentisera med en anslutningssträng väljer du Anslutningssträng i listrutan Autentiseringsläge. Lagringskontonyckeln fylls i automatiskt från din prenumeration.

    Inställningar för privat datalagringskonto

  8. Om du vill autentisera med hanterad identitet väljer du Hanterad identitet i listrutan Autentiseringsläge. Om du väljer Hanterad identitet måste du lägga till ditt Stream Analytics-jobb i lagringskontots åtkomstkontrolllista med rollen Storage Blob Data Contributor . Om du inte ger ditt jobb åtkomst kommer jobbet inte att kunna utföra några åtgärder. Mer information om hur du beviljar åtkomst finns i Använda Azure RBAC för att tilldela en hanterad identitet åtkomst till en annan resurs.

    Inställningar för privat datalagringskonto med hanterad identitetsautentisering

Privata datatillgångar som lagras av Stream Analytics

Alla privata data som måste bevaras av Stream Analytics lagras i ditt lagringskonto. Exempel på privata datatillgångar är:

  • Frågor som du har skapat och deras relaterade konfigurationer

  • Användardefinierade funktioner

  • Kontrollpunkter som krävs av Stream Analytics-körningen

  • Ögonblicksbilder av referensdata

Anslutningsinformation om dina resurser, som används av ditt Stream Analytics-jobb, lagras också. Kryptera ditt lagringskonto för att skydda alla dina data.

Aktiverar Data Residency

Du kan använda den här funktionen för att framtvinga eventuella krav på datahemvist som du kan ha genom att tillhandahålla ett lagringskonto i enlighet med detta.

Nästa steg