你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 流分析中的数据保护

Azure 流分析是一种完全托管的平台即服务,使你能够构建实时分析管道。 所有繁重的工作,例如群集预配、缩放节点以适应使用情况以及管理内部检查点,都在后台进行管理。

存储的专用数据资产

Azure 流分析保留以下元数据和数据以便运行:

  • 查询定义及其相关配置

  • 用户定义的函数或聚合

  • 流分析运行时所需的检查点

  • 参考数据的快照

  • 流分析作业使用的资源的连接详细信息

为帮助你在任何受监管的行业或环境中履行合规义务,你可以阅读有关 Microsoft 的合规性产品的详细信息。

区域中数据驻留

Azure 流分析存储上述客户数据和其他元数据。 默认情况下,Azure 流分析将客户数据存储在一个区域中,这样此服务就会自动满足区域内数据驻留要求,包括信任中心内指定的要求。 此外,可以选择将与流分析作业相关的所有数据资产(客户数据和其他元数据)存储在一个区域中,方法是在所选存储帐户中对其进行加密。

加密数据

流分析会自动在其基础架构中采用一流的加密标准来加密和保护数据。 你只需信任流分析可以安全地存储所有数据,这样就无需担心如何管理基础结构。

如果要使用客户管理的密钥来加密数据,可以使用自己的存储帐户(常规用途 V1 或 V2)来存储流分析运行时所需的任何专用数据资产。 可以根据需要加密存储帐户。 流分析基础结构不会永久存储任何专用数据资产。

必须在创建流分析作业时配置此设置,并且在作业的整个生命周期中都不能对其进行修改。 不建议修改或删除流分析正在使用的存储。 如果删除存储帐户,则将永久删除所有专用数据资产,这将导致作业失败。

无法使用流分析门户为存储帐户更新或轮换密钥。 可以使用 REST API 更新密钥。 还可以使用托管标识身份验证和允许受信任的服务连接到作业存储帐户。

如果要使用的存储帐户位于 Azure 虚拟网络中,则必须将托管标识身份验证模式与“允许受信任的服务”配合使用。 有关详细信息,请访问:将流分析作业连接到 Azure 虚拟网络 (VNet) 中的资源

配置专用数据的存储帐户

加密存储帐户以保护所有数据,并显式选择专用数据的位置。

为帮助你在任何受监管的行业或环境中履行合规义务,你可以阅读有关 Microsoft 的合规性产品的详细信息。

使用以下步骤配置专用数据资产的存储帐户。 此配置通过流分析作业(而不是存储帐户)进行。

  1. 登录 Azure 门户

  2. 在 Azure 门户的左上角选择“创建资源”。

  3. 从结果列表中选择“分析”>“流分析作业”。

  4. 在流分析作业页面中填写必要的详细信息,如名称、区域和规模。

  5. 选中显示“在我的存储帐户中保护此作业所需的全部专用数据资产”的复选框。

  6. 从订阅中选择一个存储帐户。 请注意,作业的整个生命周期内都不能修改此设置。 创建作业后,也无法添加此选项。

  7. 若要使用连接字符串进行身份验证,请从“身份验证模式”下拉列表中选择“连接字符串”。 存储帐户密钥会自动从你的订阅中填充。

    Private data storage account settings

  8. 若要使用托管标识(预览版)进行身份验证,请从“身份验证模式”下拉列表中选择“托管标识”。 如果选择托管标识,则需要使用“存储 Blob 数据参与者”角色将流分析作业添加到存储帐户的访问控制列表中。 如果不向作业授予访问权限,作业将无法执行任何操作。 有关如何授予访问权限的详细信息,请参阅使用 Azure RBAC 授予托管标识对另一资源的访问权限

    Private data storage account settings with managed identity authentication

流分析存储的专用数据资产

需要流分析保留的任何专用数据都存储在存储帐户中。 专用数据资产的示例包括:

  • 已创建的查询及其相关配置

  • 用户定义的函数

  • 流分析运行时所需的检查点

  • 参考数据的快照

流分析作业使用的资源的连接详细信息也将存储。 加密存储帐户以保护你的所有数据。

为帮助你在任何受监管的行业或环境中履行合规义务,你可以阅读有关 Microsoft 的合规性产品的详细信息。

启用数据驻留

通过提供相应的存储帐户,可以使用此功能强制执行任何数据驻留要求。

后续步骤