หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
นําไปใช้กับ:✅ Warehouse ใน Microsoft Fabric
Fabric Data Warehouse เข้ารหัสข้อมูลทั้งหมดที่ไม่ได้ใช้งานตามค่าเริ่มต้น เพื่อให้มั่นใจว่าข้อมูลของคุณได้รับการปกป้องผ่านคีย์ที่จัดการโดย Microsoft
นอกจากนี้ คุณสามารถปรับปรุงเสถียรภาพการรักษาความปลอดภัยได้โดยใช้คีย์ที่จัดการโดยลูกค้า (CMK) ซึ่งช่วยให้คุณควบคุมคีย์การเข้ารหัสที่ปกป้องข้อมูลและข้อมูลเมตาของคุณได้โดยตรง
เมื่อคุณเปิดใช้งาน CMK สําหรับพื้นที่ทํางานที่มี Fabric Data Warehouse ทั้งข้อมูล OneLake และข้อมูลเมตาของคลังสินค้าจะได้รับการปกป้องโดยใช้คีย์การเข้ารหัสลับที่โฮสต์โดย Azure Key Vault ของคุณ ด้วยคีย์ที่จัดการโดยลูกค้า คุณสามารถเชื่อมต่อพื้นที่ทํางาน Fabric ของคุณกับ Azure Key Vault ของคุณเองได้โดยตรง คุณสามารถควบคุมการสร้าง การเข้าถึง และการหมุนเวียนคีย์ได้อย่างสมบูรณ์ เพื่อให้มั่นใจว่าสอดคล้องกับนโยบายการรักษาความปลอดภัยและการกํากับดูแลขององค์กรของคุณ
เมื่อต้องการเริ่มต้นกําหนดค่า CMK สําหรับพื้นที่ทํางาน Fabric ของคุณ โปรดดู คีย์ที่จัดการโดยลูกค้าสําหรับพื้นที่ทํางาน Fabric
การเข้ารหัสข้อมูลทํางานอย่างไรใน Fabric Data Warehouse
Fabric Data Warehouse เป็นไปตามโมเดลการเข้ารหัสหลายชั้นเพื่อให้แน่ใจว่าข้อมูลของคุณยังคงได้รับการปกป้องขณะพักและใช้งานชั่วคราว
ส่วนหน้า SQL: เข้ารหัสข้อมูลเมตา (ตาราง มุมมอง ฟังก์ชัน กระบวนงานที่เก็บไว้)
พูลการประมวลผลแบ็กเอนด์: ใช้แคชชั่วคราว ไม่มีข้อมูลเหลืออยู่
วันเลค: ข้อมูลที่คงอยู่ทั้งหมดจะถูกเข้ารหัส
การเข้ารหัสเลเยอร์ส่วนหน้า SQL
เมื่อเปิดใช้งาน CMK สําหรับพื้นที่ทํางาน Fabric Data Warehouse ยังใช้คีย์ที่จัดการโดยลูกค้าของคุณเพื่อเข้ารหัสข้อมูลเมตา เช่น ข้อกําหนดตาราง กระบวนงานที่เก็บไว้ ฟังก์ชัน และข้อมูล Schema
สิ่งนี้ทําให้มั่นใจได้ว่าทั้งข้อมูลของคุณใน OneLake และข้อมูลเมตาที่มีข้อมูลส่วนบุคคลในคลังสินค้าจะถูกเข้ารหัสด้วยคีย์ของคุณเอง
การเข้ารหัสเลเยอร์พูลการประมวลผลแบ็กเอนด์
การประมวลผลแบ็กเอนด์การประมวลผลของ Fabric จะสืบค้นในสภาพแวดล้อมแบบชั่วคราวที่ใช้แคช ไม่มีข้อมูลเหลืออยู่ในแคชเหล่านี้ เนื่องจาก Fabric Warehouse จะขับไล่เนื้อหาแคชแบ็กเอนด์ทั้งหมดหลังการใช้งาน ข้อมูลชั่วคราวจึงไม่คงอยู่เกินอายุการใช้งานของเซสชัน
แคชแบ็กเอนด์จึงถูกเข้ารหัสด้วยคีย์ที่จัดการโดย Microsoft เท่านั้น และไม่อยู่ภายใต้การเข้ารหัสโดย CMK ด้วยเหตุผลด้านประสิทธิภาพ แคชแบ็กเอนด์จะถูกล้างและสร้างขึ้นใหม่โดยอัตโนมัติโดยเป็นส่วนหนึ่งของการดําเนินการประมวลผลตามปกติ
การเข้ารหัสเลเยอร์ OneLake
ข้อมูลทั้งหมดที่จัดเก็บไว้ใน OneLake จะถูกเข้ารหัสเมื่อไม่ได้ใช้งานโดยใช้คีย์ที่จัดการโดย Microsoft ตามค่าเริ่มต้น
เมื่อเปิดใช้งาน CMK คีย์ที่จัดการโดยลูกค้าของคุณ (เก็บไว้ใน Azure Key Vault) จะถูกใช้เพื่อเข้ารหัสลับ คีย์การเข้ารหัสลับข้อมูล (DEK) ซึ่งให้ซองจดหมายการป้องกันเพิ่มเติม คุณยังคงควบคุมการหมุนเวียนคีย์ นโยบายการเข้าถึง และการตรวจสอบ
สําคัญ
ในพื้นที่ทํางานที่เปิดใช้งาน CMK ข้อมูล OneLake ทั้งหมดจะถูกเข้ารหัสโดยใช้คีย์ที่จัดการโดยลูกค้าของคุณ
Limitations
ก่อนเปิดใช้งาน CMK สําหรับ Fabric Data Warehouse ของคุณ ให้ตรวจสอบข้อควรพิจารณาต่อไปนี้:
ความล่าช้าในการเผยแพร่คีย์: เมื่อมีการหมุน อัปเดต หรือแทนที่คีย์ใน Azure Key Vault อาจมีความล่าช้าในการเผยแพร่ก่อนเลเยอร์ SQL ของ Fabric ในบางเงื่อนไข ความล่าช้านี้อาจใช้เวลาถึง 20 นาทีก่อนที่การเชื่อมต่อ SQL จะถูกสร้างขึ้นใหม่ด้วยคีย์ใหม่
การแคชแบ็กเอนด์: ข้อมูลที่ประมวลผลโดยพูลการประมวลผลแบ็กเอนด์ของ Fabric จะไม่ถูกเข้ารหัสด้วย CMK ที่ไม่ได้ใช้งาน เนื่องจากลักษณะในหน่วยความจําที่มีอายุสั้น Fabric จะไล่ข้อมูลที่แคชไว้โดยอัตโนมัติหลังจากใช้งานแต่ละครั้ง
ความพร้อมใช้งานของบริการระหว่างการเพิกถอนคีย์: หาก CMK ไม่สามารถเข้าถึงได้หรือถูกเพิกถอน การดําเนินการอ่านและเขียนในพื้นที่ทํางานจะล้มเหลวจนกว่าการเข้าถึงคีย์จะกลับคืนมา
การสนับสนุน DMV: เนื่องจากการกําหนดค่า CMK ถูกสร้างขึ้นและกําหนดค่าที่ระดับพื้นที่ทํางาน คุณจึงไม่สามารถใช้
sys.dm_database_encryption_keysเพื่อดูสถานะการเข้ารหัสลับของฐานข้อมูลได้ ซึ่งจะเกิดขึ้นเฉพาะในระดับพื้นที่ทํางานเท่านั้นข้อจํากัดของไฟร์วอลล์: ไม่รองรับ CMK เมื่อเปิดใช้งานไฟร์วอลล์ Azure Key Vault
คิวรีในตัวแก้ไขคิวรีพอร์ทัลแฟบริก Object Explorer ไม่ได้เข้ารหัสด้วย CMK