Freigeben über

Vom Kunden verwaltete Schlüssel für Fabric Arbeitsbereiche

Microsoft Fabric verschlüsselt alle ruhenden Daten mit Microsoft verwalteten Schlüsseln. Mit vom Kunden verwalteten Schlüsseln für Fabric Arbeitsbereiche können Sie Ihre Azure Key Vault Schlüssel verwenden, um den Daten in Ihren Microsoft Fabric Arbeitsbereichen eine weitere Schutzebene hinzuzufügen – einschließlich aller Daten in OneLake. Ein vom Kunden verwalteter Schlüssel bietet mehr Flexibilität, sodass Sie seine Rotation verwalten, den Zugriff steuern und die Nutzung überwachen können. Sie hilft Organisationen auch dabei, die Anforderungen der Datengovernance zu erfüllen und Datenschutz- und Verschlüsselungsstandards einzuhalten.

Funktionsweise von vom Kunden verwalteten Schlüsseln

Alle Fabric-Datenspeicher werden im Ruhezustand mit von Microsoft verwalteten Schlüsseln verschlüsselt. Vom Kunden verwaltete Schlüssel verwenden umschlagverschlüsselung, wobei ein Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) einen Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) verschlüsselt. Bei der Verwendung von von Kunden verwalteten Schlüsseln verschlüsselt der von Microsoft verwaltete DEK Ihre Daten, und anschließend wird der DEK mit dem von Kunden verwalteten KEK verschlüsselt. Die Verwendung eines KEK, das nie Key Vault verlässt, ermöglicht es den Datenverschlüsselungsschlüsseln selbst, verschlüsselt und kontrolliert zu werden. Dadurch wird sichergestellt, dass alle Kundeninhalte in einem CMK-aktivierten Arbeitsbereich mit Ihren vom Kunden verwalteten Schlüsseln verschlüsselt werden.

Aktivieren der Verschlüsselung mit vom Kunden verwalteten Schlüsseln für Ihren Arbeitsbereich

Arbeitsbereichsadministratoren können die Verschlüsselung mithilfe von CMK auf Arbeitsbereichsebene einrichten. Sobald der Arbeitsbereichsadministrator die Einstellung im Portal aktiviert hat, werden alle in diesem Arbeitsbereich gespeicherten Kundeninhalte mit dem angegebenen CMK verschlüsselt. CMK lässt sich in die Zugriffsrichtlinien und rollenbasierte Zugriffssteuerung (RBAC) von AKV integrieren, sodass Sie flexibel präzise Berechtigungen basierend auf dem Sicherheitsmodell Ihrer Organisation definieren können. Wenn Sie die CMK-Verschlüsselung später deaktivieren, wird der Arbeitsbereich auf die Verwendung von Microsoft verwalteten Schlüsseln zurückgesetzt. Sie können den Schlüssel auch jederzeit widerrufen, und der Zugriff auf die verschlüsselten Daten wird innerhalb einer Stunde nach dem Widerruf blockiert. Mit der Granularität und Kontrolle auf Arbeitsbereichsebene erhöhen Sie die Sicherheit Ihrer Daten in Fabric.

Unterstützte Elemente

Vom Kunden verwaltete Schlüssel werden derzeit für die folgenden Fabric Elemente unterstützt:

  • Lakehouse
  • Lagerhalle
  • Notebook
  • Umwelt
  • Spark-Auftragsdefinition
  • API für GraphQL
  • ML-Modell
  • Experiment
  • Rohrleitung
  • Datenfluss
  • Branchenspezifische Lösungen
  • SQL-Datenbank
  • Eventhouse (Vorschau)
  • Graph (Vorschau)

Dieses Feature kann nicht für einen Arbeitsbereich aktiviert werden, der nicht unterstützte Elemente enthält. Wenn die vom Kunden verwaltete Schlüsselverschlüsselung für einen Fabric Arbeitsbereich aktiviert ist, können nur unterstützte Elemente in diesem Arbeitsbereich erstellt werden. Um nicht unterstützte Elemente zu verwenden, erstellen Sie sie in einem anderen Arbeitsbereich, für den dieses Feature nicht aktiviert ist.

Konfigurieren der Verschlüsselung mit vom Kunden verwalteten Schlüsseln für Ihren Arbeitsbereich

Der vom Kunden verwaltete Schlüssel für Fabric-Arbeitsbereiche erfordert eine Ersteinrichtung. Dieses Setup umfasst das Aktivieren der Verschlüsselungsmandanten-Einstellung von Fabric, das Konfigurieren von Azure Key Vault und das Gewähren von Zugriffsrechten der CMK-App der Fabric-Plattform auf Azure Key Vault. Sobald die Einrichtung abgeschlossen ist, kann ein Benutzer mit einer Administratorarbeitsbereichsrolle das Feature im Arbeitsbereich aktivieren.

Schritt 1: Aktivieren Sie die Fabric-Mandanteneinstellung

Ein Fabric Administrator muss sicherstellen, dass die Einstellung Apply vom Kunden verwaltete Schlüssel aktiviert ist. Weitere Informationen finden Sie im Artikel zur Einstellung des Verschlüsselungsmandanten .

Schritt 2: Erstellen eines Dienstprinzipals für die Fabric-Plattform-CMK-App

Fabric verwendet die Fabric Platform CMK-App, um auf Ihre Azure Key Vault zuzugreifen. Damit die App funktioniert, muss ein Dienstprinzipal für den Mandanten erstellt werden. Dieser Vorgang wird von einem Benutzer ausgeführt, der über Microsoft Entra ID Berechtigungen verfügt, z. B. einen Cloud-Anwendungsadministrator.

Befolgen Sie die Anweisungen in Erstellen einer Unternehmensanwendung aus einer mandantenfähigen Anwendung in Microsoft Entra ID, um ein Dienstprinzipal für eine Anwendung namens Fabric Platform CMK mit der Anwendungs-ID 61d6811f-7544-4e75-a1e6-1c59c0383311 in Ihrem Microsoft Entra ID-Mandanten zu erstellen.

Schritt 3: Konfigurieren von Azure Key Vault

Sie müssen Ihre Key Vault so konfigurieren, dass Fabric darauf zugreifen kann. Dieser Schritt wird von einem Benutzer ausgeführt, der über Key Vault Berechtigungen verfügt, z. B. ein Key Vault Administrator. Weitere Informationen finden Sie unter Azure SecurityRollen.

  1. Öffnen Sie das Azure Portal, und navigieren Sie zu Ihrem Key Vault. Wenn Sie nicht über Key Vault verfügen, folgen Sie den Anweisungen in Create a key vault using the Azure portal.

  2. Konfigurieren Sie in Ihrem Key Vault die folgenden Einstellungen:

  3. Öffnen Sie in Ihrem Key Vault Zugriffssteuerung (IAM).

  4. Wählen Sie im Dropdownmenü "Hinzufügen " die Option "Rollenzuweisung hinzufügen" aus.

  5. Wählen Sie die Registerkarte " Mitglieder " aus, und klicken Sie dann auf " Mitglieder auswählen".

  6. Suchen Sie im Bereich Select members nach Fabric Platform CMK

  7. Wählen Sie die Fabric Platform CMK App aus, und dann Auswählen.

  8. Wählen Sie die Registerkarte Role aus, und suchen Sie nach Key Vault Crypto Service Encryption User oder einer Rolle, die Berechtigungen zum Abrufen, Verpacken und Entpacken des Schlüssels ermöglicht.

  9. Wählen Sie Key Vault Crypto Service Encryption User aus.

  10. Wählen Sie "Überprüfen+ Zuweisen " aus, und wählen Sie dann "Überprüfen+ Zuweisen" aus, um Ihre Auswahl zu bestätigen.

Schritt 4: Erstellen eines Azure Key Vault Schlüssels

Zum Erstellen eines Azure Key Vault Schlüssels folgen Sie den Anweisungen in Create a key vault using the Azure portal.

Key Vault Anforderungen

Fabric unterstützt nur versionlose vom Kunden verwaltete Schlüssel, die Schlüssel im Format https://{vault-name}.vault.azure.net/{key-type}/{key-name} für Tresore und https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} für verwaltetes HSM sind. Fabric überprüft den Key Vault täglich auf eine neue Version und verwendet die neueste verfügbare Version. Um eine Zeitspanne zu vermeiden, in der Sie nach dem Erstellen eines neuen Schlüssels nicht auf Daten im Arbeitsbereich zugreifen können, warten Sie 24 Stunden, bevor Sie die ältere Version des Schlüssels deaktivieren.

Key Vault und verwaltete HSMs müssen sowohl Soft Delete als auch Schutz vor Löschung aktiviert haben, und der Schlüssel muss vom Typ RSA oder RSA-HSM sein. Die unterstützten Schlüsselgrößen sind:

  • 2.048 Bit
  • 3.072 Bit
  • 4.096 Bit

Weitere Informationen finden Sie unter Informationen zu Schlüsseln.

Hinweis

4.096-Bit-Schlüssel werden für sql-Datenbank in Microsoft Fabric nicht unterstützt.

Sie können auch Azure Key Vaults verwenden, für die die Einstellung firewall aktiviert ist. Wenn Sie den öffentlichen Zugriff auf die Key Vault deaktivieren, können Sie die Option "Vertrauenswürdige Microsoft Dienste zulassen, um diese Firewall zu umgehen" auswählen.

Schritt 5: Aktivieren der Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln

Führen Sie nach Abschluss der Voraussetzungen die Schritte in diesem Abschnitt aus, um vom Kunden verwaltete Schlüssel in Ihrem Fabric Arbeitsbereich zu aktivieren.

  1. Wählen Sie in Ihrem Fabric Arbeitsbereich Workspace-Einstellungen aus.

  2. Wählen Sie im Bereich "Arbeitsbereichseinstellungen " die Option "Verschlüsselung" aus.

  3. Aktivieren Sie "Vom Kunden verwaltete Schlüssel anwenden".

  4. Geben Sie im Feld "Schlüsselbezeichner " Ihren vom Kunden verwalteten Schlüsselbezeichner ein.

  5. Wählen Sie Anwenden.

Nachdem Sie diese Schritte ausgeführt haben, wird Ihr Arbeitsbereich mit einem vom Kunden verwalteten Schlüssel verschlüsselt. Dies bedeutet, dass alle Daten in OneLake verschlüsselt sind und dass vorhandene und zukünftige Elemente im Arbeitsbereich vom vom Kunden verwalteten Schlüssel verschlüsselt werden, den Sie für die Einrichtung verwendet haben. Sie können den Verschlüsselungsstatus "Aktiv", "In Bearbeitung" oder "Fehlgeschlagen " auf der Registerkarte " Verschlüsselung " in den Arbeitsbereichseinstellungen überprüfen. Elemente, für die verschlüsselung läuft oder fehlgeschlagen ist, werden ebenfalls kategorisiert aufgeführt. Der Schlüssel muss im Key Vault aktiv bleiben, während die Verschlüsselung (Status: In Bearbeitung) ausgeführt wird. Aktualisieren Sie die Seite, um den neuesten Verschlüsselungsstatus anzuzeigen. Wenn die Verschlüsselung für einige Elemente im Arbeitsbereich fehlgeschlagen ist, können Sie versuchen, einen anderen Schlüssel zu verwenden.

Zugriff widerrufen

Um den Zugriff auf Daten in einem Arbeitsbereich zu widerrufen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, widerrufen Sie den Schlüssel im Azure Key Vault. Innerhalb von 60 Minuten nach dem Widerrufen des Schlüssels schlagen Lese- und Schreibaufrufe an den Arbeitsbereich fehl.

Sie können einen kundenseitig verwalteten Verschlüsselungsschlüssel widerrufen, indem Sie die Zugriffsrichtlinie oder die Berechtigungen für den Schlüsseltresor ändern oder den Schlüssel löschen.

Um den Zugriff wieder einzugeben, stellen Sie den Zugriff auf den vom Kunden verwalteten Schlüssel im Key Vault wieder her.

Hinweis

Der Arbeitsbereich aktualisiert nicht automatisch den Schlüssel für die SQL-Datenbank in Microsoft Fabric. Stattdessen müssen Sie die CMK manuell erneut aktualisieren , um den Zugriff wiederherzustellen.

Deaktivieren der Verschlüsselung

Um die Verschlüsselung des Arbeitsbereichs mithilfe eines vom Kunden verwalteten Schlüssels zu deaktivieren, gehen Sie zu Arbeitsbereichseinstellungen und deaktivieren Sie die Option Vom Kunden verwaltete Schlüssel anwenden. Der Arbeitsbereich bleibt mit Microsoft verwalteten Schlüsseln verschlüsselt.

Hinweis

Sie können vom Kunden verwaltete Schlüssel nicht deaktivieren, während die Verschlüsselung für eines der Fabric Elemente in Ihrem Arbeitsbereich ausgeführt wird.

Überwachung

Sie können Verschlüsselungskonfigurationsanforderungen für Ihre Fabric Arbeitsbereiche nachverfolgen, indem Sie Protokolleinträge überwachen. Die folgenden Vorgangsnamen werden in Überwachungsprotokollen verwendet:

  • Arbeitsbereichsverschlüsselung anwenden
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

Überlegungen und Einschränkungen

Bevor Sie Ihren Fabric Arbeitsbereich mit einem vom Kunden verwalteten Schlüssel konfigurieren, sollten Sie die folgenden Einschränkungen berücksichtigen:

  • Die folgenden Daten sind nicht durch vom Kunden verwaltete Schlüssel geschützt:

    • Lakehouse-Spaltennamen, Tabellenformat, Tabellenkomprimierung.
    • Alle in den Spark Clustern gespeicherten Daten (daten, die in temporären Datenträgern als Teil von Shuffle- oder Data Spills oder RDD-Caches in einer Spark-Anwendung gespeichert sind) sind nicht geschützt. Dazu gehören alle Spark-Jobs aus Notebooks, Lakehouses, Spark-Job-Definitionen, Lade- und Wartungs-Jobs für Lakehouse-Tabellen, Shortcut-Transformationen, Aktualisierungen der Materialisierten Ansichten im Fabric.
    • Die Auftragsprotokolle, die auf dem Historienserver gespeichert sind
    • Bibliotheken, die als Teil von Umgebungen angefügt oder als Teil der Spark-Sitzungsanpassung mit magischen Befehlen hinzugefügt werden, sind nicht geschützt.
    • Beim Erstellen eines Pipeline- und Kopierauftrags generierte Metadaten, z. B. DB-Name, Tabelle, Schema
    • Metadaten von ML-Modell und Experiment, z. B. Modellname, Version, Metriken
    • Lagerabfragen für Object Explored und Back-End-Cache, die nach jeder Verwendung entfernt werden

  • CMK wird für alle F-SKUs unterstützt. Testkapazitäten können nicht für die Verschlüsselung mit CMK verwendet werden.

  • Sie können CMK für Arbeitsbereiche aktivieren, die in BYOK-Kapazitäten gehostet werden. Die gleichen oder separate Schlüssel können verwendet werden, um beide Elemente in einem CMK-fähigen Arbeitsbereich und semantischen Modellen zu schützen, die sich auf der BYOK-Kapazität befinden. (Vorschau)

  • CMK kann über das Fabric Portal aktiviert werden und verfügt nicht über API-Unterstützung.

  • CMK kann für den Arbeitsbereich aktiviert und deaktiviert werden, während die Verschlüsselungseinstellung auf Mandantenebene aktiviert ist. Sobald die Mandanteneinstellung deaktiviert ist, können Sie CMK für Arbeitsbereiche in diesem Mandanten nicht mehr aktivieren oder CMK für Arbeitsbereiche deaktivieren, für die CMK bereits in diesem Mandanten aktiviert ist. Daten in Arbeitsbereichen, die CMK aktiviert haben, bevor die Mandanteneinstellung deaktiviert wurde, bleiben mit dem vom Kunden verwalteten Schlüssel verschlüsselt. Lassen Sie den zugeordneten Schlüssel aktiv, um Daten in diesem Arbeitsbereich wieder zu entpacken.

Verwandte Inhalte

  • Last updated on