Azure 串流分析中的資料保護
Azure 串流分析是完全受控的平台即服務,可讓您建置即時分析管線。 所有繁重的工作,例如佈建叢集、擴展節點以容納您的使用量,以及管理內部檢查點,都在幕後管理。
儲存的私人資料資產
Azure 串流分析會留存下列中繼資料和資料以便執行:
查詢定義及其相關設定
使用者定義的函式或彙總
串流分析執行階段所需的檢查點
參考資料的快照集
串流分析作業所使用資源的連線詳細資料
區域內資料落地
Azure 串流分析會儲存客戶資料和先前所述其他中繼資料。 Azure 串流分析預設會將客戶資料儲存在單一區域中,因此這項服務可自動滿足區域內的資料落地需求,包括信任中心中指定的需求。 此外,您可以選擇將所有串流分析作業相關資料資產 (客戶資料和其他中繼資料) 儲存在單一區域,方法是在所選儲存體帳戶中加密。
加密您的資料
串流分析會自動在其基礎結構中採用最佳加密標準,加密並保護您的資料。 您可以信任串流分析會安全儲存所有資料,不必擔心管理基礎結構。
如果您想要使用客戶自控金鑰來加密您的資料,可以使用自己的儲存體帳戶 (一般用途 V1 或 V2),儲存串流分析執行階段所需的任何私人資料資產。 您可以視需求加密儲存體帳戶。 串流分析基礎結構不會永久儲存私人資料資產。
此設定必須在建立串流分析作業時設定,而且無法在作業的生命週期中修改。 不建議修改或刪除串流分析正在使用的儲存體。 如果您刪除儲存體帳戶,將永久刪除所有私人資料資產,而這會導致作業失敗。
您無法使用串流分析入口網站,更新或輪替儲存體帳戶的金鑰。 您可以使用 REST API 更新金鑰。 您也可以使用受控識別驗證,搭配允許信任的服務來連線至您的作業儲存體帳戶。
如果您想要使用的儲存體帳戶位於 Azure 虛擬網路,則必須使用受控識別驗證模式搭配允許信任的服務。 如需詳細資訊,請瀏覽:將串流分析作業連線至 Azure 虛擬網路中的資源。
設定私人資料的儲存體帳戶
加密儲存體帳戶以保護所有資料,並明確選擇私人資料的位置。
透過下列步驟,設定私人資料資產的儲存體帳戶。 此設定是從串流分析作業進行,而不是從儲存體帳戶進行。
登入 Azure 入口網站。
選取 Azure 入口網站左上角的 [建立資源] 。
從結果清單中選取 [分析]>[串流分析作業]。
填寫串流分析作業頁面的必要詳細資料,例如名稱、區域和級別。
選取核取方塊 [在我的儲存體帳戶中保護此作業所需的所有私人資料資產]。
從訂用帳戶選取儲存體帳戶。 此設定無法在作業的生命週期中修改。 建立作業之後,您也無法新增此選項。
若要使用連接字串驗證,請從 [驗證模式] 下拉式清單中選取 [連接字串]。 儲存體帳戶金鑰會自動從您的訂用帳戶填入。
若要使用受控識別驗證,請從 [驗證模式] 下拉式清單中選取 [受控識別]。 如果您選擇 [受控識別],必須使用「儲存體 Blob 資料參與者」角色,將串流分析作業新增至儲存體帳戶的存取控制清單。 如果您沒有提供作業存取權,工作就無法執行任何作業。 如需如何授與存取權的詳細資訊,請參閱指派 Azure 角色以存取 Blob 資料。
串流分析儲存的私人資料資產
串流分析需要留存的任何私人資料,都會儲存在儲存體帳戶中。 私人資料資產的範例包括:
您撰寫的查詢及其相關設定
使用者自訂函數
串流分析執行階段所需的檢查點
參考資料的快照集
也會儲存串流分析作業所使用資源的連線詳細資料。 加密儲存體帳戶以保護所有資料。
啟用資料落地
您可以使用這項功能,提供相關儲存體帳戶,強制執行您可能有的任何資料落地規定。