Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
gäller för:✅ Warehouse i Microsoft Fabric
Fabric Data Warehouse krypterar alla vilande data som standard, vilket säkerställer att din information skyddas via Microsoft-hanterade nycklar.
Dessutom kan du förbättra din säkerhetsstatus med hjälp av kundhanterade nycklar (CMK), vilket ger dig direkt kontroll över krypteringsnycklarna som skyddar dina data och metadata.
När du aktiverar CMK för en arbetsyta som innehåller ett Fabric-datalager skyddas både OneLake-data och metadatalager med hjälp av krypteringsnycklar som finns i din Azure Key Vault. Med kundhanterade nycklar kan du ansluta din Fabric-arbetsyta direkt till ditt eget Azure Key Vault. Du har fullständig kontroll över skapande, åtkomst och rotation av nycklar, vilket säkerställer efterlevnad av organisationens säkerhets- och styrningsprinciper.
För att komma igång med att konfigurera CMK för din Fabric-arbetsyta, se Kundhanterade nycklar för Fabric-arbetsytor.
Så här fungerar datakryptering i Fabric Data Warehouse
Fabric Data Warehouse följer en krypteringsmodell med flera lager för att säkerställa att dina data förblir skyddade i vila och övergående används.
SQL-klientdel: Krypterar metadata (tabeller, vyer, funktioner, lagrade procedurer).
Beräkningspool för serverdel: Använder tillfälliga cacheminnen; inga data lagras permanent.
OneLake: Alla bevarade data krypteras.
SQL-kryptering av gränssnittslagret
När CMK är aktiverat för arbetsytan använder Fabric Data Warehouse även din kundhanterade nyckel för att kryptera metadata, till exempel tabelldefinitioner, lagrade procedurer, funktioner och schemainformation.
Detta säkerställer att både dina data i OneLake och personliga databärande metadata i lagret krypteras med din egen nyckel.
Kryptering av backend-beräkningspoollager
Fabrics beräkningsserverdel bearbetar frågor i en tillfällig, cachebaserad miljö. Inga data förblir i dessa cacheminnen. Eftersom Fabric Warehouse tar bort allt innehåll i serverdelens cacheminne efter användning, bevaras aldrig tillfälliga data längre än sessionslivslängden.
På grund av sin kortvariga karaktär krypteras serverdelscacheminnen endast med Microsoft-hanterade nycklar och omfattas inte av kryptering av CMK, av prestandaskäl. Serverdelscacheminnen rensas och återskapas automatiskt som en del av normala beräkningsåtgärder.
OneLake-lagerkryptering
Alla data som lagras i OneLake krypteras i vila med hjälp av Microsoft-hanterade nycklar som standard.
När CMK är aktiverat används din kundhanterade nyckel (lagras i Azure Key Vault) för att kryptera datakrypteringsnycklarna (DEK:er), vilket ger ytterligare ett skyddskuvert. Du har kontroll över nyckelrotation, åtkomstprinciper och granskning.
Viktigt!
I CMK-aktiverade arbetsytor krypteras alla OneLake-data med dina kundhanterade nycklar.
Begränsningar
Granska följande överväganden innan du aktiverar CMK för ditt Fabric Data Warehouse:
Fördröjning av nyckelspridning: När en nyckel roteras, uppdateras eller ersätts i Azure Key Vault kan det uppstå en spridningsfördröjning före Fabrics SQL-lager. Under vissa förhållanden kan den här fördröjningen ta upp till 20 minuter innan SQL-anslutningar återupprättas med den nya nyckeln.
Cachelagring av serverdelen: Data som bearbetas av Fabrics serverdelsberäkningspool krypteras inte med CMK i vila på grund av dess kortlivade minnesinterna natur. Fabric avlägsnar automatiskt cachelagrade data efter varje användning.
Tjänsttillgänglighet under nyckelåterkallning: Om CMK:en blir otillgänglig eller återkallad misslyckas läs- och skrivåtgärder på arbetsytan tills åtkomsten till nyckeln har återställts.
DMV-stöd: Eftersom CMK-konfigurationen har upprättats och konfigurerats på arbetsytenivå kan du inte använda
sys.dm_database_encryption_keysför att visa databasens krypteringsstatus. Detta sker uteslutande på arbetsytenivå.Brandväggsbegränsningar: CMK stöds inte när Azure Key Vault-brandväggen är aktiverad.
Forespörjningar i Fabric portalens frågeredigerare, Object Explorer, är inte krypterade med CMK.