Azure 串流分析中的資料保護

Azure 串流分析是完全受控的平台即服務,可讓您建置即時分析管線。 所有繁重的工作,例如佈建叢集、擴展節點以容納您的使用量,以及管理內部檢查點,都在幕後管理。

儲存的私人資料資產

Azure 串流分析會留存下列中繼資料和資料以便執行:

  • 查詢定義及其相關設定

  • 使用者定義的函式或彙總

  • 串流分析執行階段所需的檢查點

  • 參考資料的快照集

  • 串流分析作業所使用資源的連線詳細資料

區域內資料落地

Azure 串流分析會儲存客戶資料和上述其他中繼資料。 Azure 串流分析預設會將客戶資料儲存在單一區域中,因此這項服務可自動滿足區域內的資料落地需求,包括信任中心中指定的需求。 此外,您可以選擇將所有串流分析作業相關資料資產 (客戶資料和其他中繼資料) 儲存在單一區域,方法是在所選儲存體帳戶中加密。

將資料進行加密

串流分析會自動在其基礎結構中採用最佳加密標準,加密並保護您的資料。 您可以放心信任串流分析安全儲存所有資料,不必擔心管理基礎結構。

如果您想要使用客戶自控金鑰來加密您的資料,可以使用自己的儲存體帳戶 (一般用途 V1 或 V2),儲存串流分析執行階段所需的任何私人資料資產。 您可以視需求加密儲存體帳戶。 串流分析基礎結構不會永久儲存私人資料資產。

此設定必須在建立串流分析作業時設定,而且無法在作業的生命週期中修改。 不建議修改或刪除串流分析正在使用的儲存體。 如果您刪除儲存體帳戶,將永久刪除所有私人資料資產,這會導致作業失敗。

您無法使用串流分析入口網站,更新或輪替儲存體帳戶的金鑰。 您可以使用 REST API 更新金鑰。 您也可以使用受控識別驗證,搭配允許信任的服務來連線至您的作業儲存體帳戶。

如果您想要使用的儲存體帳戶位於 Azure 虛擬網路,則必須使用受控識別驗證模式搭配允許信任的服務。 如需詳細資訊,請瀏覽:將串流分析作業連線至 Azure 虛擬網路 (VNet) 中的資源

設定私人資料的儲存體帳戶

加密儲存體帳戶以保護所有資料,並明確選擇私人資料的位置。

透過下列步驟,設定私人資料資產的儲存體帳戶。 此設定是從串流分析作業進行,而不是從儲存體帳戶進行。

  1. 登入 Azure 入口網站

  2. 選取 Azure 入口網站左上角的 [建立資源] 。

  3. 從結果清單中選取 [分析]>[串流分析作業]。

  4. 填寫串流分析作業頁面的必要詳細資料,例如名稱、區域和級別。

  5. 選取核取方塊 [在我的儲存體帳戶中保護此作業所需的所有私人資料資產]。

  6. 從訂用帳戶選取儲存體帳戶。 請注意,此設定無法在作業的生命週期中修改。 建立作業之後,您也無法新增此選項。

  7. 若要使用連接字串驗證,請從 [驗證模式] 下拉式清單中選取 [連接字串]。 儲存體帳戶金鑰會自動從您的訂用帳戶填入。

    私人資料儲存體帳戶設定

  8. 若要使用受控識別進行驗證,請從 [驗證模式] 下拉式清單中選取 [ 受控識別 ]。 如果您選擇 [受控識別],必須使用「儲存體 Blob 資料參與者」角色,將串流分析作業新增至儲存體帳戶的存取控制清單。 如果您未授與作業存取權,作業將無法執行任何作業。 如需如何授與存取權的詳細資訊,請參閱使用 Azure RBAC 對其他資源指派受控識別存取權

    使用受控識別驗證的私人資料儲存體帳戶設定

串流分析儲存的私人資料資產

串流分析需要留存的任何私人資料,都會儲存在儲存體帳戶中。 私人資料資產的範例包括:

  • 您撰寫的查詢及其相關設定

  • 使用者自訂函數

  • 串流分析執行階段所需的檢查點

  • 參考資料的快照集

也會儲存串流分析作業所使用資源的連線詳細資料。 加密儲存體帳戶以保護所有資料。

啟用資料落地

您可以使用這項功能,提供相關儲存體帳戶,強制執行您可能有的任何資料落地規定。

下一步