Azure 串流分析中的資料保護

Azure 串流分析是完全受控的平台即服務，可讓您建置即時分析管線。 所有繁重的工作，例如佈建叢集、擴展節點以容納您的使用量，以及管理內部檢查點，都在幕後管理。

儲存的私人資料資產

Azure 串流分析會留存下列中繼資料和資料以便執行：

• 查詢定義及其相關設定

• 使用者定義的函式或彙總

• 串流分析執行階段所需的檢查點

• 參考資料的快照集

• 串流分析作業所使用資源的連線詳細資料

區域內資料落地

Azure 串流分析會儲存客戶資料和先前所述其他中繼資料。 Azure 串流分析預設會將客戶資料儲存在單一區域中，因此這項服務可自動滿足區域內的資料落地需求，包括信任中心中指定的需求。 此外，您可以選擇將所有串流分析作業相關資料資產 (客戶資料和其他中繼資料) 儲存在單一區域，方法是在所選儲存體帳戶中加密。

加密您的資料

串流分析會自動在其基礎結構中採用最佳加密標準，加密並保護您的資料。 您可以信任串流分析會安全儲存所有資料，不必擔心管理基礎結構。

如果您想要使用客戶自控金鑰來加密您的資料，可以使用自己的儲存體帳戶 (一般用途 V1 或 V2)，儲存串流分析執行階段所需的任何私人資料資產。 您可以視需求加密儲存體帳戶。 串流分析基礎結構不會永久儲存私人資料資產。

此設定必須在建立串流分析作業時設定，而且無法在作業的生命週期中修改。 不建議修改或刪除串流分析正在使用的儲存體。 如果您刪除儲存體帳戶，將永久刪除所有私人資料資產，而這會導致作業失敗。

您無法使用串流分析入口網站，更新或輪替儲存體帳戶的金鑰。 您可以使用 REST API 更新金鑰。 您也可以使用受控識別驗證，搭配允許信任的服務來連線至您的作業儲存體帳戶。

如果您想要使用的儲存體帳戶位於 Azure 虛擬網路，則必須使用受控識別驗證模式搭配允許信任的服務。 如需詳細資訊，請瀏覽：將串流分析作業連線至 Azure 虛擬網路中的資源。

設定私人資料的儲存體帳戶

加密儲存體帳戶以保護所有資料，並明確選擇私人資料的位置。

透過下列步驟，設定私人資料資產的儲存體帳戶。 此設定是從串流分析作業進行，而不是從儲存體帳戶進行。

1. 登入 Azure 入口網站。

2. 選取 Azure 入口網站左上角的 [建立資源] 。

3. 從結果清單中選取 [分析]>[串流分析作業]。

4. 填寫串流分析作業頁面的必要詳細資料，例如名稱、區域和級別。

5. 選取核取方塊 [在我的儲存體帳戶中保護此作業所需的所有私人資料資產]。

6. 從訂用帳戶選取儲存體帳戶。 此設定無法在作業的生命週期中修改。 建立作業之後，您也無法新增此選項。

7. 若要使用連接字串驗證，請從 [驗證模式] 下拉式清單中選取 [連接字串]。 儲存體帳戶金鑰會自動從您的訂用帳戶填入。

   

8. 若要使用受控識別驗證，請從 [驗證模式] 下拉式清單中選取 [受控識別]。 如果您選擇 [受控識別]，必須使用「儲存體 Blob 資料參與者」角色，將串流分析作業新增至儲存體帳戶的存取控制清單。 如果您沒有提供作業存取權，工作就無法執行任何作業。 如需如何授與存取權的詳細資訊，請參閱指派 Azure 角色以存取 Blob 資料。

   

串流分析儲存的私人資料資產

串流分析需要留存的任何私人資料，都會儲存在儲存體帳戶中。 私人資料資產的範例包括：

• 您撰寫的查詢及其相關設定

• 使用者自訂函數

• 串流分析執行階段所需的檢查點

• 參考資料的快照集

也會儲存串流分析作業所使用資源的連線詳細資料。 加密儲存體帳戶以保護所有資料。

啟用資料落地

您可以使用這項功能，提供相關儲存體帳戶，強制執行您可能有的任何資料落地規定。

下一步

• 建立 Azure 儲存體帳戶
• 了解 Azure 串流分析的輸入
• Azure 串流分析作業中的檢查點和重新執行概念
• 使用參考資料在串流分析中進行查閱