Del via

Kundeadministrerede nøgler til Fabric-arbejdsområder

Microsoft Fabric krypterer alle data i hvile ved hjælp af Microsoft-administrerede nøgler. Med kundeadministrerede nøgler til Fabric arbejdsområder kan du bruge dine Azure Key Vault nøgler til at tilføje et ekstra beskyttelseslag til dataene i dine Microsoft Fabric arbejdsområder – inklusive alle data i OneLake. En kundeadministrerede nøgle giver større fleksibilitet, så du kan administrere dens rotation, styre adgang og overvågning af forbrug. Det hjælper også organisationer med at opfylde datastyringsbehov og overholde databeskyttelses- og krypteringsstandarder.

Sådan fungerer kundeadministrerede nøgler

Alle Fabric-datalagre krypteres i hvile med nøgler administreret af Microsoft. Kundeadministrerede nøgler bruger konvolutkryptering, hvor en KEK (Key Encryption Key) krypterer en DATA Encryption Key (DEK). Når du bruger kundeadministrerede nøgler, krypterer Microsoft administrerede DEK dine data, og derefter krypteres DEK ved hjælp af din kundeadministrerede KEK. Brug af en KEK, der aldrig forlader Key Vault, gør det muligt at kryptere og kontrollere selve datakrypteringsnøglerne. Dette sikrer, at alt kundeindhold i et CMK-aktiveret arbejdsområde krypteres ved hjælp af dine kundeadministrerede nøgler.

Aktivér kryptering med kundeadministrerede nøgler til dit arbejdsområde

Administratorer af arbejdsområder kan konfigurere kryptering ved hjælp af CMK på arbejdsområdeniveau. Når administratoren af arbejdsområdet aktiverer indstillingen på portalen, krypteres alt kundeindhold, der er gemt i arbejdsområdet, ved hjælp af den angivne CMK. CMK integreres med AKV's adgangspolitikker og rollebaseret adgangskontrol (RBAC), hvilket giver dig fleksibilitet til at definere detaljerede tilladelser baseret på din organisations sikkerhedsmodel. Hvis du vælger at deaktivere CMK-kryptering senere, går arbejdsområdet tilbage til at bruge nøgler administreret af Microsoft. Du kan også tilbagekalde nøglen når som helst, og adgangen til de krypterede data blokeres inden for en time efter tilbagekaldelsen. Med granularitet og kontrol på arbejdsområdeniveau øger du sikkerheden af dine data i Fabric.

Understøttede elementer

Kundeadministrerede nøgler understøttes i øjeblikket for følgende Fabric-elementer:

  • Lakehouse
  • Lagersted
  • Notesbog
  • Environment
  • Definition af Spark-job
  • API til GraphQL
  • ML-model
  • Experiment
  • Pipeline
  • Dataflow
  • Brancheløsninger
  • SQL Database
  • Eventhouse (forhåndsvisning)

Denne funktion kan ikke aktiveres for et arbejdsområde, der indeholder elementer, der ikke understøttes. Når kundeadministreret nøglekryptering for et Fabric-arbejdsområde er aktiveret, kan kun understøttede elementer oprettes i det arbejdsområde. For at bruge ikke-understøttede elementer, skal du oprette dem i et andet arbejdsområde, der ikke har denne funktion aktiveret.

Konfigurer kryptering med kundeadministrerede nøgler til dit arbejdsområde

Kundeadministreret nøgle til Fabric-arbejdsområder kræver en indledende opsætning. Denne opsætning inkluderer aktivering af Fabric-krypteringslejerindstillingen, konfiguration af Azure Key Vault og tilladelse af adgang til Azure Key Vault til Fabric Platform CMK-appen. Når konfigurationen er fuldført, kan en bruger med en rolle somadministratorarbejdsområde aktivere funktionen i arbejdsområdet.

Trin 1: Aktivér Fabric-lejerindstillingen

En Fabric administrator skal sikre, at indstillingen Apply customer-managed keys er aktiveret. Du kan få flere oplysninger i artiklen Indstilling af krypteringslejer .

Trin 2: Opret en Service Principal til Fabric Platform CMK-appen

Fabric bruger appen Fabric Platform CMK til at få adgang til din Azure Key Vault. For at appen kan fungere, skal der oprettes en tjenesteprincipal for lejeren. Denne proces udføres af en bruger, der har Microsoft Entra ID privilegier, såsom en Cloud Application Administrator.

Følg instruktionerne i Opret en enterprise-applikation fra en multitenant-applikation i Microsoft Entra ID for at oprette en serviceprincipal for en applikation kaldet Fabric Platform CMK med app-ID 61d6811f-7544-4e75-a1e6-1c59c0383311 i din Microsoft Entra ID lejer.

Step 3: Configure Azure Key Vault

Du skal konfigurere din Key Vault, så Fabric kan få adgang til den. Dette trin udføres af en bruger, der har Key Vault privilegier, såsom en Key Vault Administrator. For mere information, se Azure Security roller.

  1. Åbn Azure-portalen og navigér til din Key Vault. Hvis du ikke har Key Vault, så følg instruktionerne i Opret et key vault ved hjælp af Azure-portalen.

  2. I din Key Vault skal du konfigurere følgende indstillinger:

  3. I din Key Vault skal du åbne Access control (IAM).

  4. På rullelisten Tilføj skal du vælge Tilføj rolletildeling.

  5. Vælg fanen Medlemmer , og klik derefter på Vælg medlemmer.

  6. I panelet Vælg medlemmer søg efter Fabric Platform CMK

  7. Vælg appen Fabric Platform CMK og derefter Select.

  8. Vælg fanen Rolle og søg efter Key Vault Crypto Service Encryption User eller en rolle, der aktiverer get, wrapkey og unwrap key tilladelser.

  9. Vælg Key Vault Crypto Service Encryption User.

  10. Vælg Gennemse + tildel, og vælg derefter Gennemse + tildel for at bekræfte dit valg.

Step 4: Create an Azure Key Vault key

For at oprette en Azure Key Vault nøgle følger du instruktionerne i Opret et nøglehvælv ved hjælp af Azure-portalen.

Key Vault-krav

Fabric understøtter kun versionsløse kundeadministrerede nøgler, som er nøgler i formatet https://{vault-name}.vault.azure.net/{key-type}/{key-name} for Vaults og https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} for Managed HSM. Fabric tjekker dagligt nøgleboksen for en ny version og bruger den nyeste tilgængelige version. Hvis du vil undgå at have en periode, hvor du ikke kan få adgang til data i arbejdsområdet, når der er oprettet en ny nøgle, skal du vente 24 timer, før du deaktiverer den ældre version.

Key Vault og Managed HSM skal have både soft-delete og purge protection aktiveret, og nøglen skal være af RSA- eller RSA-HSM-typen. De understøttede nøglestørrelser er:

  • 2.048 bit
  • 3.072 bit
  • 4.096 bit

Du kan finde flere oplysninger under Om nøgler.

Notat

4.096-bit nøgler understøttes ikke til SQL-databaser i Microsoft Fabric.

Du kan også bruge Azure Key Vaults, hvor indstillingen firewall er aktiveret. Når du deaktiverer offentlig adgang til Key Vault, kan du vælge muligheden 'Tillad betroede Microsoft Services at omgå denne firewall.'

Trin 5: Aktivér kryptering ved hjælp af kundeadministrerede nøgler

Efter at have opfyldt forudsætningerne, følg trinene i dette afsnit for at aktivere kundeadministrerede nøgler i dit Fabric-arbejdsområde.

  1. Fra dit Fabric arbejdsområde vælger du Workspace settings.

  2. I ruden Indstillinger for arbejdsområde skal du vælge Kryptering.

  3. Aktivér Anvend kundeadministrerede nøgler.

  4. Angiv dit kundeadministrerede nøgle-id i feltet Nøgle-id .

  5. Vælg Anvend.

Når du har fuldført disse trin, krypteres dit arbejdsområde med en kundeadministreret nøgle. Det betyder, at alle data i OneLake er krypteret, og at eksisterende og fremtidige elementer i arbejdsområdet krypteres med den kundeadministrerede nøgle, du brugte til opsætningen. Du kan gennemse krypteringsstatussen Aktiv, Igangværende eller Mislykket under fanen Kryptering i indstillinger for arbejdsområde. Elementer, for hvilke kryptering er i gang eller mislykkedes, vises også kategorisk. Nøglen skal forblive aktiv i Key Vault, mens krypteringen er i gang (Status: I gang). Opdater siden for at få vist den seneste krypteringsstatus. Hvis krypteringen mislykkedes for nogle elementer i arbejdsområdet, kan du prøve igen ved hjælp af en anden nøgle.

Tilbagekald adgang

For at tilbagekalde adgang til data i et arbejdsområde, der er krypteret med en kundeadministreret nøgle, skal nøglen tilbagekaldes i Azure Key Vault. Inden for 60 minutter fra det tidspunkt, hvor nøglen tilbagekaldes, mislykkes læsning og skrivning af kald til arbejdsområdet.

Du kan tilbagekalde en kundeadministrerede krypteringsnøgle ved at ændre adgangspolitikken, ved at ændre tilladelserne til key vault eller ved at slette nøglen.

For at genoprette adgangen, genskab adgangen til den kundeadministrerede nøgle i Key Vault.

Notat

Arbejdsområdet validerer ikke automatisk nøglen til SQL-databasen i Microsoft Fabric. I stedet skal du manuelt validere CMK for at genoprette adgangen.

Deaktiver krypteringen

Hvis du vil deaktivere kryptering af arbejdsområdet ved hjælp af en kundeadministreret nøgle, skal du gå til Deaktiver indstillinger for arbejdsområdeAnvend kundeadministrerede nøgler. Arbejdsområdet forbliver krypteret med Microsoft Managed nøgler.

Notat

Du kan ikke deaktivere kundeadministrerede nøgler, mens kryptering af nogen af Fabric-enhederne i dit arbejdsområde er i gang.

Monitoring

Du kan spore krypteringskonfigurationsanmodninger for dine Fabric-arbejdsområder ved at indtaste auditlog. Følgende handlingsnavne bruges i overvågningslogge:

  • ApplyWorkspaceEncryption
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

Overvejelser og begrænsninger

Før du konfigurerer dit Fabric-arbejdsområde med en kundeadministreret nøgle, bør du overveje følgende begrænsninger:

  • Følgende data er ikke beskyttet med kundeadministrerede nøgler:

    • Lakehouse-kolonnenavne, tabelformat, tabelkomprimering.
    • Alle data, der er lagret i Spark-klyngerne (data gemt i midlertidige diske som en del af shuffle eller dataudslip eller RDD-cacher i en Spark-applikation), er ikke beskyttet. Dette inkluderer alle Spark-jobs fra notesbøger, lakehuse, Spark-jobdefinitioner, Lakehouse Table Load og vedligeholdelsesopgaver, genvejstransformationer, Fabric Materialized View Refresh.
    • Jobloggene, der er gemt på oversigtsserveren
    • Biblioteker, der er tilknyttet som en del af miljøer eller tilføjet som en del af Spark-sessionstilpasningen med magiske kommandoer, er ikke beskyttet
    • Metadata, der genereres ved oprettelse af et pipeline- og kopijob, f.eks. DB-navn, tabel, skema
    • Metadata for ML-model og eksperiment, f.eks. modelnavn, version, målepunkter
    • Lagerstedsforespørgsler på Object Explored og backend-cache, som fjernes efter hver brug

  • CMK understøttes på alle F-SKU'er. Testkapaciteter kan ikke bruges til kryptering med CMK.

  • Du kan slå CMK til for arbejdsområder, der hostes i BYOK-kapaciteter. De samme eller separate nøgler kan bruges til at beskytte begge elementer i et CMK-aktiveret arbejdsområde og semantiske modeller, der ligger på BYOK-kapaciteten.

  • CMK kan aktiveres via Fabric-portalen og har ikke API-understøttelse.

  • CMK kan aktiveres og deaktiveres for arbejdsområdet, mens indstillingen for kryptering på lejerniveau er slået til. Når lejerindstillingen er slået fra, kan du ikke længere aktivere CMK for arbejdsområder i den pågældende lejer eller deaktivere CMK for arbejdsområder, der allerede har CMK slået til i den pågældende lejer. Data i arbejdsområder, der aktiverede CMK før lejerindstillingen blev slået fra, forbliver krypteret med den kundeadministrerede nøgle. Hold den tilknyttede nøgle aktiv for at kunne udtrække data i det pågældende arbejdsområde.

Relateret indhold

  • Last updated on