適用於:Microsoft Fabric 中的✅ 資料庫
Fabric Data Warehouse 預設會加密所有待用資料,確保您的資訊透過 Microsoft 管理的金鑰受到保護。
此外,您可以使用客戶管理的金鑰 (CMK) 來增強安全性狀態,讓您直接控制保護資料和中繼資料的加密金鑰。
當您為包含 Fabric Data Warehouse 的工作區啟用 CMK 時,OneLake 資料和倉儲中繼資料都會使用 Azure Key Vault 裝載的加密金鑰來保護。 使用客戶自控金鑰,您可以將 Fabric 工作區直接連線到您自己的 Azure 金鑰保存庫。 您可以完全控制金鑰建立、存取和輪換,確保符合組織的安全性和治理原則。
若要開始設定 Fabric 工作區的 CMK,請參閱 Fabric 工作區的客戶管理金鑰。
資料加密在 Fabric Data Warehouse 中的運作方式
Fabric Data Warehouse 遵循多層加密模型,以確保您的資料在靜態和暫時使用時保持保護。
SQL前端: 加密中繼資料(表格、視圖、函數、預存程序)。
後端計算池: 使用暫時快取;不會保留任何資料。
一湖: 所有保存的資料都會加密。
SQL前端層加密
為工作區啟用 CMK 時,Fabric Data Warehouse 也會使用客戶管理的金鑰來加密中繼資料,例如資料表定義、預存程序、函式和結構描述資訊。
這可確保您在 OneLake 中的資料和倉儲中的個人資料中繼資料都會使用您自己的金鑰進行加密。
後端計算集區層加密
Fabric 的計算後端會在暫時的快取型環境中處理查詢。 這些快取中不會保留任何靜態資料。 因為 Fabric Warehouse 會在使用之後收回所有後端快取內容,所以暫時性資料永遠不會在階段作業存留期之後持續存在。
由於其短期性質,後端快取只會使用 Microsoft 受控金鑰加密,而且基於效能原因,不會受到 CMK 的加密。 後端快取會自動清除並重新生成,作為一般運算處理的一部分。
OneLake 層加密
根據預設,儲存在 OneLake 中的所有資料都會使用 Microsoft 受控金鑰進行待用加密。
啟用 CMK 時,您的客戶自控金鑰 (儲存在 Azure 金鑰保存庫中) 會用來加密 資料加密金鑰 (DEK),以提供額外的保護信封。 您可以控制金鑰輪替、存取原則和稽核。
這很重要
在已啟用 CMK 的工作區中,所有 OneLake 資料都會使用客戶自控金鑰進行加密。
局限性
在為 Fabric Data Warehouse 啟用 CMK 之前,請檢閱下列考量:
金鑰傳播延遲:在 Azure 金鑰保存庫中輪替、更新或取代金鑰時,在 Fabric 的 SQL 層之前可能會有傳播延遲。 在某些情況下,此延遲最多可能需要 20 分鐘,才能使用新金鑰重新建立 SQL 連線。
後端快取:由 Fabric 後端計算集區處理的資料並非使用 CMK 進行靜態加密,因其短暫的存留期和記憶體內部運行的性質。 Fabric 會在每次使用後自動清除快取的資料。
金鑰撤銷期間的服務可用性:如果 CMK 無法存取或撤銷,則工作區中的讀取和寫入作業會失敗,直到還原金鑰的存取為止。
DMV 支援:由於 CMK 組態是在工作區層級建立和設定,因此您無法用來
sys.dm_database_encryption_keys檢視資料庫的加密狀態;這只會在工作區層級發生。防火牆限制:啟用 Azure 金鑰保存庫防火牆時,不支援 CMK。
Fabric 入口網站查詢編輯器物件總管中的查詢不會使用 CMK 加密。