Dela via


Kundhanterade nycklar för Fabric-arbetsytor

Microsoft Fabric krypterar alla vilande data med hjälp av Microsofts hanterade nycklar. Med kundhanterade nycklar för Fabric-arbetsytor kan du använda dina Azure Key Vault-nycklar för att lägga till en extra skyddsnivå till data i dina Microsoft Fabric-arbetsytor. En kundhanterad nyckel ger större flexibilitet så att du kan hantera dess rotation, kontrollåtkomst och användningsgranskning. Det hjälper också organisationer att uppfylla datastyrningsbehov och uppfylla dataskydds- och krypteringsstandarder.

Alla Fabric-datalager krypteras i vila med Microsoft-hanterade nycklar. Kundhanterade nycklar använder kuvertkryptering, där en nyckelkrypteringsnyckel (KEK) krypterar en datakrypteringsnyckel (DEK). När du använder kundhanterade nycklar krypterar Microsofts hanterade DEK dina data och sedan krypteras DEK med hjälp av din kundhanterade KEK. Med hjälp av en KEK som aldrig lämnar Key Vault kan själva datakrypteringsnycklarna krypteras och kontrolleras.

Viktigt!

Den här funktionen är i förhandsversion.

Förutsättningar

Kundhanterad nyckel för Fabric-arbetsytor kräver en inledande installation. Den här installationen omfattar aktivering av inställningen för Fabric-kryptering på hyresgästnivå, konfiguration av Azure Key Vault och att ge appen Fabric Platform CMK åtkomst till Azure Key Vault. När installationen är klar kan en användare med en administratörsroll för arbetsytan aktivera funktionen på arbetsytan.

Steg 1: Aktivera inställningen för Fabric-klientorganisation

En infrastrukturadministratör måste se till att inställningen Tillämpa kundhanterade nycklar är aktiverad. För mer information, se artikeln Inställningar för krypteringsklientorganisation.

Steg 2: Skapa ett tjänsthuvudnamn för FABRIC Platform CMK-appen

Fabric använder CMK-appen Fabric Platform för att få åtkomst till ditt Azure Key Vault. För att appen ska fungera måste ett tjänstehuvudnamn skapas för hyresgästen. Den här processen utförs av en användare som har Microsoft Entra-ID-behörigheter, till exempel molnprogramadministratör.

Följ anvisningarna i Skapa ett företagsprogram från ett program med flera klienter i Microsoft Entra-ID för att skapa ett huvudnamn för tjänsten för ett program som heter Fabric Platform CMK i din Microsoft Entra ID-klientorganisation.

Steg 3: Konfigurera Azure Key Vault

Du måste konfigurera ditt Key Vault så att Fabric kan komma åt det. Det här steget utförs av en användare som har Key Vault-behörigheter, till exempel key vault-administratör. Mer information finns i Azure Security-roller .

  1. Öppna Azure-portalen och navigera till din Nyckelvalv. Om du inte har Key Vault följer du anvisningarna i Skapa ett nyckelvalv med hjälp av Azure-portalen.

  2. Konfigurera följande inställningar i Key Vault:

  3. Öppna Åtkomstkontroll (IAM) i ditt Key Vault.

  4. I listrutan Lägg till väljer du Lägg till rolltilldelning.

  5. Välj fliken Medlemmar och klicka sedan på Välj medlemmar.

  6. I fönstret Välj medlemmar söker du efter Fabric Platform CMK

  7. Välj CMK-appen Fabric Platform och sedan Välj.

  8. Välj fliken Roll och sök efter Användare av Krypteringstjänst för Nyckelvalv eller en roll som aktiverar behörigheter för att hämta, kryptera nyckel och avkryptera nyckel.

  9. Välj Key Vault Crypto Service Encryption User.

  10. Välj Granska + tilldela och välj sedan Granska + tilldela för att bekräfta ditt val.

Steg 4: Skapa en Azure Key Vault-nyckel

Om du vill skapa en Azure Key Vault-nyckel följer du anvisningarna i Skapa ett nyckelvalv med hjälp av Azure-portalen.

Krav för Key Vault

Fabric stöder endast versionslösa kundhanterade nycklar, som är nycklar i https://{vault-name}.vault.azure.net/{key-type}/{key-name} formatet. Fabric kontrollerar nyckelvalvet dagligen efter en ny version och använder den senaste tillgängliga versionen. För att undvika att ha en period där du inte kan komma åt data på arbetsytan när en ny nyckel har skapats väntar du 24 timmar innan du inaktiverar den äldre versionen.

Nyckeln måste vara en RSA-nyckel . De storlekar som stöds är:

  • 2 048 bitar
  • 3 072 bitar
  • 4 096 bitar

Mer information finns i Om nycklar.

Aktivera kryptering med kundhanterade nycklar

Följ stegen i den här sektionen för att använda kundhanterade nycklar i din Fabric-arbetsyta.

  1. Från din Fabric-arbetsyta väljer du Inställningar för arbetsyta.

  2. I fönstret Inställningar för arbetsyta väljer du Kryptering.

  3. Aktivera Tillämpa kundhanterade nycklar.

  4. I fältet Nyckelidentifierare anger du din kundhanterade nyckelidentifierare.

  5. Välj Använd.

När du har slutfört de här stegen krypteras arbetsytan med en kundhanterad nyckel. Det innebär att befintliga och framtida objekt på arbetsytan krypteras av den kundhanterade nyckel som du använde för installationen. Du kan granska krypteringsstatusen Aktiv, Pågår eller Misslyckades på fliken Kryptering i arbetsyteinställningarna. Objekt för vilka kryptering pågår eller misslyckades visas kategoriskt också. Nyckeln måste vara aktiv i Nyckelvalvet medan kryptering pågår (Status: Pågår). Uppdatera sidan för att visa den senaste krypteringsstatusen. Om krypteringen misslyckades för vissa objekt på arbetsytan kan du försöka igen med en annan nyckel.

Återkalla åtkomst

Återkalla nyckeln i Azure Key Vault om du vill återkalla åtkomsten till data på en arbetsyta som krypteras med hjälp av en kundhanterad nyckel. Inom 60 minuter från det att nyckeln återkallas misslyckas läs- och skrivanrop till arbetsytan.

Du kan återkalla en kundhanterad krypteringsnyckel genom att ändra åtkomstprincipen, ändra behörigheterna för nyckelvalvet eller genom att ta bort nyckeln.

För att återfå åtkomst, återställ den kundhanterade nyckeln i Nyckelvalvet.

Inaktivera krypteringen

Om du vill inaktivera kryptering av arbetsytan med hjälp av en kundhanterad nyckel går du till Arbetsyteinställningar inaktivera Tillämpa kundhanterade nycklar. Arbetsytan förblir krypterad med hjälp av Microsoft Managed Keys.

Du kan inte inaktivera kundhanterade nycklar medan kryptering för något av infrastrukturobjekten på arbetsytan pågår.

Kryptering är för närvarande tillgängligt i valda regioner och fungerar endast för arbetsytor med kapaciteter i dessa regioner.

Överväganden och begränsningar

Innan du konfigurerar din Fabric-arbetsyta med en kundhanterad nyckel, tänk på följande begränsningar:

  • Kundhanterade nycklar stöds för närvarande för följande "Fabric"-objekt:

    • Sjöhus
    • Miljö
    • Definition av Spark-jobb
    • API för GraphQL
    • ML-modell
    • Experiment
    • Datapipeline
    • Dataflöde
    • Branschlösningar
  • Den här funktionen kan inte aktiveras för en arbetsyta som innehåller objekt som inte stöds.

  • När kundhanterad nyckelkryptering för en Infrastruktur-arbetsyta är aktiverad kan endast objekt som stöds skapas på den arbetsytan. Om du vill använda objekt som inte stöds skapar du dem på en annan arbetsyta som inte har den här funktionen aktiverad.

  • De data som anges nedan skyddas inte med kundhanterade nycklar:

    • Alla data som lagras i Spark-kluster (data som lagras på tillfälliga diskar som en del av shuffle-, dataförluster eller RDD-cacheminnen i en Spark-applikation) är inte skyddade. Detta omfattar alla Spark-jobb från Notebooks, Lakehouses, Spark-jobbdefinitioner, Lakehouse-tabelladdning och underhållsjobb, Genvägstransformeringar, Uppdatering av materialiserad vy för Fabric.
    • Jobb-loggarna som lagras på historikservern
    • Bibliotek som är anslutna som en del av miljöer eller läggs till som en del av anpassningen av Spark-sessionen med hjälp av magiska kommandon skyddas inte
    • Lakehouse-kolumnnamn, tabellformat, tabellkomprimering, SQL-slutpunkt
    • Metadata som genereras när du skapar en datapipeline och ett kopieringsjobb, till exempel DB-namn, tabell, schema
    • Metadata för ML-modell och experiment, till exempel modellnamn, version, mått
  • CMK stöds endast i följande regioner: Östra USA, Tyskland Västra Central, Norra Centrala USA, Norra Europa, Södra Central USA, Sydostasien, Förenade Arabemiraten Nord, Södra Storbritannien, Västra Europa och Västra USA. Om du vill använda CMK måste din hemregion och kapacitet finnas i en region som stöds.

  • CMK stöds på alla F SKU:er.

  • CMK kan aktiveras med hjälp av Fabric-portalen och har inte API-stöd.

  • CMK stöds inte när azure Key Vault-brandväggsinställningen är aktiverad.

  • CMK kan aktiveras och inaktiveras för arbetsytan medan krypteringsinställningen på klientnivå är aktiverad. När klientinställningen är inaktiverad kan du inte längre aktivera CMK för arbetsytor i klientorganisationen eller inaktivera CMK för arbetsytor som redan har CMK aktiverat i klientorganisationen. Data i arbetsytor som aktiverade CMK innan klientinställningen stängdes av förblir krypterade med den kundhanterade nyckeln. Håll den associerade nyckeln aktiv för att kunna avkoda data på arbetsytan.