Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Fabric krypterar alla vilande data med hjälp av Microsoft hanterade nycklar. Med kundhanterade nycklar för Fabric arbetsytor kan du använda dina Azure Key Vault nycklar för att lägga till ytterligare ett skyddslager till data i dina Microsoft Fabric arbetsytor – inklusive alla data i OneLake. En kundhanterad nyckel ger större flexibilitet så att du kan hantera dess rotation, kontrollåtkomst och användningsgranskning. Det hjälper också organisationer att uppfylla datastyrningsbehov och uppfylla dataskydds- och krypteringsstandarder.
Så här fungerar kundhanterade nycklar
Alla Fabric-datalager krypteras i vila med Microsoft-hanterade nycklar. Kundhanterade nycklar använder kuvertkryptering, där en nyckelkrypteringsnyckel (KEK) krypterar en datakrypteringsnyckel (DEK). När du använder kundhanterade nycklar krypterar Microsoft hanterade DEK dina data och sedan krypteras DEK med hjälp av din kundhanterade KEK. Användning av en KEK som aldrig lämnar Key Vault gör att själva datakrypteringsnycklarna kan krypteras och kontrolleras. Detta säkerställer att allt kundinnehåll i en CMK-aktiverad arbetsyta krypteras med dina kundhanterade nycklar.
Aktivera kryptering med kundhanterade nycklar för din arbetsyta
Arbetsyteadministratörer kan konfigurera kryptering med hjälp av CMK på arbetsytenivå. När arbetsyteadministratören aktiverar inställningen i portalen krypteras allt kundinnehåll som lagras på arbetsytan med hjälp av den angivna CMK:en. CMK integreras med AKV:s åtkomstprinciper och rollbaserad åtkomstkontroll (RBAC), vilket ger dig flexibilitet att definiera detaljerade behörigheter baserat på organisationens säkerhetsmodell. Om du väljer att inaktivera CMK-kryptering senare återgår arbetsytan till att använda Microsoft hanterade nycklar. Du kan också återkalla nyckeln när som helst och åtkomsten till krypterade data blockeras inom en timme efter återkallningen. Med kornighet och kontroll på arbetsytans nivå höjer du säkerheten för dina data i Fabric.
Objekt som stöds
Kundhanterade nycklar stöds för närvarande för följande Fabric objekt:
- Sjöhus
- Lager
- Notebook
- Miljö
- Definition av Spark-jobb
- API för GraphQL
- ML-modell
- Experiment
- Pipeline
- Dataflöde
- Branschlösningar
- SQL-databas
- Eventhouse (förhandsversion)
Den här funktionen kan inte aktiveras för en arbetsyta som innehåller objekt som inte stöds. När kundhanterad nyckelkryptering för en Fabric arbetsyta är aktiverad kan endast objekt som stöds skapas på den arbetsytan. Om du vill använda objekt som inte stöds skapar du dem på en annan arbetsyta som inte har den här funktionen aktiverad.
Konfigurera kryptering med kundhanterade nycklar för din arbetsyta
Kundhanterad nyckel för Fabric-arbetsytor kräver en grundläggande konfiguration. Den här konfigurationen omfattar aktivering av inställningen för Fabric krypteringsklientorganisation, konfiguration av Azure Key Vault och beviljande av Fabric Platform CMK-appåtkomst till Azure Key Vault. När installationen är klar kan en användare med en administratörsroll för arbetsytan aktivera funktionen på arbetsytan.
Steg 1: Aktivera Fabric-inställningen för klientorganisationen
En Fabric administratör måste kontrollera att inställningen Tillämpa kundhanterade nycklar är aktiverad. För mer information, se artikeln Inställningar för krypteringsklientorganisation.
Steg 2: Skapa ett tjänstehuvudnamn för CMK-appen Fabric Platform
Fabric använder appen Fabric Platform CMK för att få åtkomst till din Azure Key Vault. För att appen ska fungera måste ett tjänstehuvudnamn skapas för hyresgästen. Den här processen utförs av en användare som har Microsoft Entra ID privilegier, till exempel en Molnprogramadministratör.
Följ anvisningarna i Skapa ett företagsprogram från ett program med flera klientorganisationer i Microsoft Entra ID för att skapa ett tjänsthuvudnamn för ett program som heter Fabric Platform CMK med app ID 61d6811f-7544-4e75-a1e6-1c59c0383311 i din Microsoft Entra ID klientorganisation.
Steg 3: Konfigurera Azure Key Vault
Du måste konfigurera din Key Vault så att Fabric kan komma åt den. Det här steget utförs av en användare som har Key Vault privilegier, till exempel en Key Vault Administrator. Mer information finns i Azure-säkerhetsroller.
Öppna Azure-portalen och gå till din Key Vault. Om du inte har Key Vault följer du anvisningarna i Skapa en key vault med hjälp av Azure-portalen.
Konfigurera följande inställningar i Key Vault:
- Mjuk borttagning – aktiverad
- Rensningsskydd – aktiverat
I din Key Vault, öppna Access control (IAM).
I listrutan Lägg till väljer du Lägg till rolltilldelning.
Välj fliken Medlemmar och klicka sedan på Välj medlemmar.
I fönstret Select members söker du efter Fabric Platform CMK
Välj appen Fabric Platform CMK och sedan Select.
Välj fliken Role och sök efter Key Vault Crypto Service Encryption User eller en roll som aktiverar get, wrapkey och unwrap-nyckel behörigheter.
Välj Key Vault Kryptotjänstkrypteringsanvändare.
Välj Granska + tilldela och välj sedan Granska + tilldela för att bekräfta ditt val.
Steg 4: Skapa en Azure Key Vault nyckel
Om du vill skapa en Azure Key Vault nyckel följer du anvisningarna i Skapa ett nyckelvalv med hjälp av Azure-portalen.
Key Vault krav
Fabric stöder endast kundhanterade nycklar utan versioner, som är nycklar i formatet https://{vault-name}.vault.azure.net/{key-type}/{key-name} för Vaults och https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} för Managed HSM. Fabric kontrollerar nyckelvalvet dagligen efter en ny version och använder den senaste tillgängliga versionen. För att undvika att ha en period där du inte kan komma åt data på arbetsytan när en ny nyckel har skapats väntar du 24 timmar innan du inaktiverar den äldre versionen.
Key Vault och Managed HSM måste ha både skydd för mjuk borttagning och rensning aktiverat och nyckeln måste vara av RSA- eller RSA-HSM typ. De nyckelstorlekar som stöds är:
- 2 048 bitar
- 3 072 bitar
- 4 096 bitar
Mer information finns i Om nycklar.
Anmärkning
4 096-bitarsnycklar stöds inte för SQL Database i Microsoft Fabric.
Du kan också använda Azure Key Vaults där inställningen firewall är aktiverad. När du inaktiverar offentlig åtkomst till Key Vault kan du välja alternativet Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen.
Steg 5: Aktivera kryptering med kundhanterade nycklar
När du har slutfört förutsättningarna följer du stegen i det här avsnittet för att aktivera kundhanterade nycklar på din Fabric arbetsyta.
På din Fabric arbetsyta, välj Arbetsyteinställningar.
I fönstret Inställningar för arbetsyta väljer du Kryptering.
Aktivera Tillämpa kundhanterade nycklar.
I fältet Nyckelidentifierare anger du din kundhanterade nyckelidentifierare.
Välj Använd.
När du har slutfört de här stegen krypteras arbetsytan med en kundhanterad nyckel. Det innebär att alla data i OneLake krypteras och att befintliga och framtida objekt på arbetsytan krypteras av den kundhanterade nyckel som du använde för installationen. Du kan granska krypteringsstatusen Aktiv, Pågår eller Misslyckades på fliken Kryptering i arbetsyteinställningarna. Objekt för vilka kryptering pågår eller misslyckades visas kategoriskt också. Nyckeln måste vara aktiv i Key Vault medan kryptering pågår (Status: Pågår). Uppdatera sidan för att visa den senaste krypteringsstatusen. Om krypteringen misslyckades för vissa objekt på arbetsytan kan du försöka igen med en annan nyckel.
Återkalla åtkomst
Återkalla nyckeln i Azure Key Vault om du vill återkalla åtkomsten till data på en arbetsyta som krypteras med hjälp av en kundhanterad nyckel. Inom 60 minuter från det att nyckeln återkallas misslyckas läs- och skrivanrop till arbetsytan.
Du kan återkalla en kundhanterad krypteringsnyckel genom att ändra åtkomstprincipen, ändra behörigheterna för nyckelvalvet eller genom att ta bort nyckeln.
För att återställa åtkomsten, återställ åtkomsten till den kundhanterade nyckeln i Key Vault.
Anmärkning
Arbetsytan förnyar inte automatiskt nyckeln för SQL-databasen i Microsoft Fabric. I stället måste du manuellt verifiera CMK för att återställa åtkomsten.
Inaktivera krypteringen
Om du vill inaktivera kryptering av arbetsytan med hjälp av en kundhanterad nyckel går du till Arbetsyteinställningar inaktivera Tillämpa kundhanterade nycklar. Arbetsytan förblir krypterad med hjälp av Microsoft hanterade nycklar.
Anmärkning
Du kan inte inaktivera kundhanterade nycklar medan kryptering för något av Fabric-objekten på din arbetsyta pågår just nu.
Övervakning
Du kan spåra begäranden om krypteringskonfiguration för dina Fabric arbetsytor med hjälp av granskningsloggposter. Följande åtgärdsnamn används i granskningsloggar:
- ApplyWorkspaceEncryption
- DisableWorkspaceEncryption
- GetWorkspaceEncryption
Överväganden och begränsningar
Innan du konfigurerar din Fabric arbetsyta med en kundhanterad nyckel bör du överväga följande begränsningar:
Följande data skyddas inte med kundhanterade nycklar:
- Lakehouse-kolumnnamn, tabellformat, tabellkomprimering.
- Alla data som lagras i Spark-kluster (data som lagras i temporära skivor som en del av shuffle- eller datautsläpp eller RDD-cacheminnen i ett Spark-program) skyddas inte. Detta inkluderar alla Spark-jobb från Notebook-dokument, Lakehouses, Spark-jobbdefinitioner, Lakehouse Tabell Ladda och Underhållsjobb, Genvägstransformeringar, Fabric materialiserad vyuppdatering.
- Jobb-loggarna som lagras på historikservern
- Bibliotek som är anslutna som en del av miljöer eller läggs till som en del av anpassningen av Spark-sessionen med hjälp av magiska kommandon skyddas inte
- Metadata som genereras när du skapar ett pipeline- och kopieringsjobb, till exempel DB-namn, tabell, schema
- Metadata för ML-modell och experiment, till exempel modellnamn, version, mått
- Lagerfrågor i Objektutforskaren och backend-cache, som tas bort efter varje användning
CMK stöds på alla F SKU:er. Utvärderingskapaciteter kan inte användas för kryptering med hjälp av CMK.
Du kan aktivera CMK för arbetsytor som finns i BYOK-kapaciteter. Samma eller separata nycklar kan användas för att skydda båda objekten i en CMK-aktiverad arbetsyta och semantiska modeller som finns på BYOK-kapaciteten. (förhandsversion)
CMK kan aktiveras med hjälp av Fabric-portalen och har inte API-stöd.
CMK kan aktiveras och inaktiveras för arbetsytan medan krypteringsinställningen på klientnivå är aktiverad. När klientinställningen är inaktiverad kan du inte längre aktivera CMK för arbetsytor i klientorganisationen eller inaktivera CMK för arbetsytor som redan har CMK aktiverat i klientorganisationen. Data i arbetsytor som aktiverade CMK innan klientinställningen stängdes av förblir krypterade med den kundhanterade nyckeln. Håll den associerade nyckeln aktiv för att kunna avkoda data på arbetsytan.