Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Gælder for:✅SQL-database i Microsoft Fabric
Microsoft Fabric krypterer alle data i hvile ved hjælp af nøgler administreret af Microsoft. SQL-databasen gemmer alle data i eksterne Azure Storage-konti. For at overholde krav til kryptering i hvile ved brug af Microsoft-administrerede nøgler har hver Azure Storage-konto, der bruges af SQL-databasen, service-side kryptering aktiveret.
Med kundeadministrerede nøgler til Fabric-arbejdsområder kan du bruge dine Azure Key Vault-nøgler til at tilføje et ekstra lag beskyttelse til dataene i dine Microsoft Fabric-arbejdsområder, inklusive alle data i SQL-databasen i Microsoft Fabric. En kundeadministreret nøgle giver større fleksibilitet, så du kan styre dens rotation, kontrollere adgang og revisionsbrug. Kundeadministrerede nøgler hjælper også organisationer med at opfylde datastyringsbehov og overholde standarder for databeskyttelse og kryptering.
- Når du konfigurerer en kundeadministreret nøgle til et arbejdsområde i Microsoft Fabric, aktiveres transparent datakryptering automatisk for alle SQL-databaser (og
tempdb) i det arbejdsområde ved brug af den angivne kundeadministrerede nøgle. Denne proces er problemfri og kræver ingen manuel indgriben.- Selvom krypteringsprocessen starter automatisk for alle eksisterende SQL-databaser, er den ikke øjeblikkelig. Varigheden afhænger af størrelsen på hver SQL-database, hvor større SQL-databaser kræver længere tid for at færdiggøre kryptering.
- Efter du har konfigureret den kundeadministrerede nøgle, bliver alle SQL-databaser, du opretter i arbejdsområdet, også krypteret med kundeadministreret nøgle.
- Hvis du fjerner den kundeadministrerede nøgle, starter dekrypteringen for alle SQL-databaser i arbejdsområdet. Ligesom kryptering afhænger dekryptering også af størrelsen på SQL-databasen og kan tage tid at færdiggøre. Når de er dekrypteret, vender SQL-databaserne tilbage til at bruge Microsoft-administrerede nøgler til kryptering.
Hvordan transparent datakryptering fungerer i SQL-databaser i Microsoft Fabric
Transparent datakryptering udfører realtidskryptering og dekryptering af databasen, tilknyttede backups og transaktionslogfiler i hvile.
- Denne proces foregår på sideniveau, hvilket betyder, at hver side dekrypteres, når den læses ind i hukommelsen, og krypteres igen, før den skrives tilbage til disken.
- Transparent datakryptering sikrer hele databasen ved hjælp af en symmetrisk nøgle kendt som Database Encryption Key (DEK).
- Når databasen starter, dekrypterer SQL Server-databasemotoren DEK'en og bruger den til at håndtere krypterings- og dekrypteringsoperationer.
- Den gennemsigtige datakrypteringsbeskytter – specifikt den kundeadministrerede nøgle konfigureret på arbejdsområdeniveau – beskytter DEK.
Sikkerhedskopiering og gendannelse
Når en SQL-database er krypteret med en kundeadministreret nøgle, krypteres alle nygenererede backups også med den samme nøgle.
Når du ændrer nøglen, bliver gamle backups af SQL-databasen ikke opdateret til at bruge den nyeste nøgle. For at gendanne en backup krypteret med en kundeadministreret nøgle, skal du sikre dig, at nøglematerialet er tilgængeligt i Azure Key Vault. Behold alle gamle versioner af de kundeadministrerede nøgler i Azure Key Vault, så SQL-databasebackups kan gendannes.
SQL-databasegendannelsesprocessen respekterer altid den kundeadministrerede nøglearbejdsområdeindstilling. Følgende tabel viser forskellige gendannelsesscenarier baseret på de kundeadministrerede nøgleindstillinger og om backupen er krypteret.
| Backupen er... | Kundeadministreret nøglearbejdsområdeindstilling | Krypteringsstatus efter gendannelse |
|---|---|---|
| Ikke krypteret | Handicappet | SQL-databasen er ikke krypteret |
| Ikke krypteret | Aktiveret | SQL-databasen krypteres med kundeadministreret nøgle |
| Krypteret med kundeadministreret nøgle | Handicappet | SQL-databasen er ikke krypteret |
| Krypteret med kundeadministreret nøgle | Aktiveret | SQL-databasen krypteres med kundeadministreret nøgle |
| Krypteret med kundeadministreret nøgle | Aktiveret, men forskellig kundeadministreret nøgle | SQL-databasen krypteres med den nye kundeadministrerede nøgle |
Verificér en succesfuld kundeadministreret nøgle
Når du aktiverer kundeadministreret nøglekryptering i arbejdsområdet, bliver den eksisterende database krypteret. En ny database i arbejdsområdet krypteres også, når den kundeadministrerede nøgle aktiveres. For at verificere, at din database er krypteret med succes, skal du køre følgende T-SQL-forespørgsel:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- En database krypteres, hvis
encryption_state_descfeltet visesENCRYPTEDmedASYMMETRIC_KEYsom .encryptor_type - Hvis tilstanden er
ENCRYPTION_IN_PROGRESS,percent_completeangiver kolonnen fremskridtet for krypteringstilstandsændringen. Denne værdi gælder0, hvis der ikke er nogen tilstandsændring i gang. - Hvis den ikke er krypteret, vises en database ikke i forespørgselsresultaterne for
sys.dm_database_encryption_keys.
Fejlsøg utilgængelig kundeadministreret nøgle
Når du konfigurerer en kundeadministreret nøgle til et arbejdsområde i Microsoft Fabric, kræver SQL-databasen kontinuerlig adgang til nøglen for at forblive online. Hvis SQL-databasen mister adgangen til nøglen i Azure Key Vault, begynder SQL-databasen efter op til 10 minutter at nægte alle forbindelser og ændrer sin tilstand til Inaccess. Brugere modtager en tilsvarende fejlmeddelelse såsom "Databasen <database ID>.database.fabric.microsoft.com er ikke tilgængelig på grund af Azure Key Vault kritisk fejl."
- Hvis nøgleadgang genoprettes inden for 30 minutter, heler SQL-databasen automatisk inden for den næste time.
- Hvis nøgleadgang genoprettes efter mere end 30 minutter, er automatisk heling af SQL-databasen ikke mulig. Genoprettelse af SQL-databasen kræver ekstra trin og kan tage betydelig tid afhængigt af SQL-databasens størrelse.
Brug følgende trin til at genvalidere den kundeadministrerede nøgle:
- I dit arbejdsområde højreklikker du på SQL-databasen eller vælger kontekstmenuen
.... Vælg Indstillinger. - Vælg Kryptering.
- For at validere den kundeadministrerede nøgle, vælg Genvalider kundeadministreret nøgle. Hvis revalideringen lykkes, kan det tage noget tid at genoprette adgangen til din SQL-database.
Notat
Når du validerer nøglen til en SQL-database, bliver nøglen automatisk revalideret for alle SQL-databaser i dit arbejdsområde.
Limitations
Nuværende begrænsninger ved brug af kundeadministreret nøgle til en SQL-database i Microsoft Fabric:
- 4.096-bit nøgler understøttes ikke til SQL-databaser i Microsoft Fabric. Understøttede nøglelængder er 2.048 bit og 3.072 bit.
- Den kundeadministrerede nøgle skal være en RSA- eller RSA-HSM asymmetrisk nøgle.