Freigeben über

Vom Kunden verwaltete Schlüssel für Fabric-Arbeitsbereiche

Microsoft Fabric verschlüsselt alle ruhenden Daten mithilfe von von Microsoft verwalteten Schlüsseln. Mit vom Kunden verwalteten Schlüsseln für Fabric-Arbeitsbereiche können Sie Ihre Azure Key Vault-Schlüssel verwenden, um den Daten in Ihren Microsoft Fabric-Arbeitsbereichen – einschließlich aller Daten in OneLake – eine weitere Schutzebene hinzuzufügen. Ein vom Kunden verwalteter Schlüssel bietet mehr Flexibilität, sodass Sie seine Rotation verwalten, den Zugriff steuern und die Nutzung überwachen können. Sie hilft Organisationen auch dabei, die Anforderungen der Datengovernance zu erfüllen und Datenschutz- und Verschlüsselungsstandards einzuhalten.

Funktionsweise von vom Kunden verwalteten Schlüsseln

Alle Fabric-Datenspeicher werden mit von Microsoft verwalteten Schlüsseln verschlüsselt. Vom Kunden verwaltete Schlüssel verwenden umschlagverschlüsselung, wobei ein Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) einen Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) verschlüsselt. Bei der Verwendung von vom Kunden verwalteten Schlüsseln verschlüsselt der von Microsoft verwaltete DEK Ihre Daten, und anschließend wird der DEK mit Ihrem vom Kunden verwalteten KEK verschlüsselt. Die Verwendung eines KEK, das Key Vault nie verlässt, ermöglicht es den Datenverschlüsselungsschlüsseln selbst, verschlüsselt und kontrolliert zu werden. Dadurch wird sichergestellt, dass alle Kundeninhalte in einem CMK-aktivierten Arbeitsbereich mit Ihren vom Kunden verwalteten Schlüsseln verschlüsselt werden.

Aktivieren der Verschlüsselung mit vom Kunden verwalteten Schlüsseln für Ihren Arbeitsbereich

Arbeitsbereichsadministratoren können die Verschlüsselung mithilfe von CMK auf Arbeitsbereichsebene einrichten. Sobald der Arbeitsbereichsadministrator die Einstellung im Portal aktiviert hat, werden alle in diesem Arbeitsbereich gespeicherten Kundeninhalte mit dem angegebenen CMK verschlüsselt. CMK lässt sich in die Zugriffsrichtlinien und rollenbasierte Zugriffssteuerung (RBAC) von AKV integrieren, sodass Sie flexibel präzise Berechtigungen basierend auf dem Sicherheitsmodell Ihrer Organisation definieren können. Wenn Sie die CMK-Verschlüsselung später deaktivieren, wird der Arbeitsbereich auf die Verwendung von von Microsoft verwalteten Schlüsseln zurückgesetzt. Sie können den Schlüssel auch jederzeit widerrufen und der Zugriff auf die verschlüsselten Daten wird innerhalb einer Stunde nach dem Widerruf blockiert. Mit der Granularität und Kontrolle auf Arbeitsbereichsebene erhöhen Sie die Sicherheit Ihrer Daten in Fabric.

Unterstützte Elemente

Vom Kunden verwaltete Schlüssel werden derzeit für die folgenden Fabric-Elemente unterstützt:

  • Lakehouse
  • Lagerhalle
  • Notebook
  • Umwelt
  • Spark-Auftragsdefinition
  • API für GraphQL
  • ML-Modell
  • Experiment
  • Rohrleitung
  • Datenfluss
  • Branchenspezifische Lösungen
  • SQL-Datenbank (Vorschau)

Dieses Feature kann nicht für einen Arbeitsbereich aktiviert werden, der nicht unterstützte Elemente enthält. Wenn die vom Kunden verwaltete Schlüsselverschlüsselung für einen Fabric-Arbeitsbereich aktiviert ist, können nur unterstützte Elemente in diesem Arbeitsbereich erstellt werden. Um nicht unterstützte Elemente zu verwenden, erstellen Sie sie in einem anderen Arbeitsbereich, für den dieses Feature nicht aktiviert ist.

Konfigurieren der Verschlüsselung mit vom Kunden verwalteten Schlüsseln für Ihren Arbeitsbereich

Der vom Kunden verwaltete Schlüssel für Fabric-Arbeitsbereiche erfordert eine Ersteinrichtung. Dieses Setup umfasst das Aktivieren der Fabric-Verschlüsselungsmandanteneinstellung, das Konfigurieren von Azure Key Vault und das Gewähren des Fabric Platform CMK-App-Zugriffs auf Azure Key Vault. Sobald die Einrichtung abgeschlossen ist, kann ein Benutzer mit einer Administratorarbeitsbereichsrolle das Feature im Arbeitsbereich aktivieren.

Schritt 1: Aktivieren Sie die Fabric-Mandanteneinstellung

Ein Fabric-Administrator muss sicherstellen, dass die Einstellung " Vom Kunden verwaltete Schlüssel anwenden " aktiviert ist. Weitere Informationen finden Sie im Artikel zur Einstellung des Verschlüsselungsmandanten .

Schritt 2: Erstellen eines Dienstprinzipals für die Fabric Platform CMK-App

Fabric verwendet die Fabric Platform CMK-App , um auf Ihren Azure Key Vault zuzugreifen. Damit die App funktioniert, muss ein Dienstprinzipal für den Mandanten erstellt werden. Dieser Vorgang wird von einem Benutzer ausgeführt, der über Microsoft Entra-ID-Berechtigungen verfügt, z. B. einen Cloudanwendungsadministrator.

Befolgen Sie die Anweisungen unter Erstellen einer Unternehmensanwendung aus einer mehrinstanzenfähigen Anwendung in Microsoft Entra ID , um einen Dienstprinzipal für eine Anwendung namens Fabric Platform CMK mit App-ID 61d6811f-7544-4e75-a1e6-1c59c0383311 in Ihrem Microsoft Entra ID-Mandanten zu erstellen.

Schritt 3: Konfigurieren von Azure Key Vault

Sie müssen Ihren Key Vault so konfigurieren, dass Fabric darauf zugreifen kann. Dieser Schritt wird von einem Benutzer ausgeführt, der über Key Vault-Zugriffsberechtigungen verfügt, z. B. ein Key Vault-Administrator. Weitere Informationen finden Sie unter Azure Security-Rollen .

  1. Öffnen Sie das Azure-Portal, und navigieren Sie zu Ihrem Key Vault. Wenn Sie nicht über Key Vault verfügen, befolgen Sie die Anweisungen unter Erstellen eines Schlüsseltresors mithilfe des Azure-Portals.

  2. Konfigurieren Sie in Ihrem Key Vault die folgenden Einstellungen:

  3. Öffnen Sie in Ihrem Key Vault die Zugriffssteuerung (IAM).

  4. Wählen Sie im Dropdownmenü "Hinzufügen " die Option "Rollenzuweisung hinzufügen" aus.

  5. Wählen Sie die Registerkarte " Mitglieder " aus, und klicken Sie dann auf " Mitglieder auswählen".

  6. Suchen Sie im Bereich "Mitglieder auswählen" nach Fabric Platform CMK.

  7. Wählen Sie die Fabric Platform CMK-App und dann "Auswählen" aus.

  8. Wählen Sie die Registerkarte Rolle aus, und suchen Sie nach Key Vault Crypto Service Encryption User oder einer Rolle, die Berechtigungen zum Abrufen, Umschließen und Entpacken von Schlüsseln ermöglicht.

  9. Wählen Sie " Key Vault Crypto Service Encryption User" aus.

  10. Wählen Sie "Überprüfen+ Zuweisen " aus, und wählen Sie dann "Überprüfen+ Zuweisen" aus, um Ihre Auswahl zu bestätigen.

Schritt 4: Erstellen eines Azure Key Vault-Schlüssels

Um einen Azure Key Vault-Schlüssel zu erstellen, befolgen Sie die Anweisungen unter Erstellen eines Schlüsseltresors mithilfe des Azure-Portals.

Schlüsseltresoranforderungen

Fabric unterstützt nur versionslose vom Kunden verwaltete Schlüssel, die Schlüssel im Format https://{vault-name}.vault.azure.net/{key-type}/{key-name} für Tresore und https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} für verwaltetes HSM sind. Fabric überprüft den Key Vault täglich auf eine neue Version und verwendet die neueste verfügbare Version. Um eine Zeitspanne zu vermeiden, in der Sie nach dem Erstellen eines neuen Schlüssels nicht auf Daten im Arbeitsbereich zugreifen können, warten Sie 24 Stunden, bevor Sie die ältere Version des Schlüssels deaktivieren.

Key Vault und verwaltetes HSM müssen sowohl Soft-Löschung als auch den Bereinigungsschutz aktiviert haben, und der Schlüssel muss vom Typ RSA oder RSA-HSM sein. Die unterstützten Schlüsselgrößen sind:

  • 2.048 Bit
  • 3.072 Bit
  • 4.096 Bit

Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Schlüsseln.

Hinweis

4.096-Bit-Schlüssel werden für SQL-Datenbank in Microsoft Fabric nicht unterstützt.

Sie können auch Azure Key Vaults verwenden, für die die Firewalleinstellung aktiviert ist. Wenn Sie den öffentlichen Zugriff auf den Key Vault deaktivieren, können Sie die Option "Zulassen, dass vertrauenswürdige Microsoft-Dienste diese Firewall umgehen" auswählen.

Schritt 5: Aktivieren der Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln

Führen Sie nach Abschluss der Voraussetzungen die Schritte in diesem Abschnitt aus, um vom Kunden verwaltete Schlüssel in Ihrem Fabric-Arbeitsbereich zu aktivieren.

  1. Wählen Sie in Ihrem Fabric-Arbeitsbereich die Arbeitsbereichseinstellungen aus.

  2. Wählen Sie im Bereich "Arbeitsbereichseinstellungen " die Option "Verschlüsselung" aus.

  3. Aktivieren Sie "Vom Kunden verwaltete Schlüssel anwenden".

  4. Geben Sie im Feld "Schlüsselbezeichner " Ihren vom Kunden verwalteten Schlüsselbezeichner ein.

  5. Wählen Sie Anwenden.

Nachdem Sie diese Schritte ausgeführt haben, wird Ihr Arbeitsbereich mit einem vom Kunden verwalteten Schlüssel verschlüsselt. Dies bedeutet, dass alle Daten in Onelake verschlüsselt sind und dass vorhandene und zukünftige Elemente im Arbeitsbereich vom vom Kunden verwalteten Schlüssel verschlüsselt werden, den Sie für die Einrichtung verwendet haben. Sie können den Verschlüsselungsstatus "Aktiv", "In Bearbeitung" oder "Fehlgeschlagen " auf der Registerkarte " Verschlüsselung " in den Arbeitsbereichseinstellungen überprüfen. Elemente, für die verschlüsselung läuft oder fehlgeschlagen ist, werden ebenfalls kategorisiert aufgeführt. Der Schlüssel muss im Key Vault aktiv bleiben, während die Verschlüsselung ausgeführt wird (Status: In Bearbeitung).> Aktualisieren Sie die Seite, um den neuesten Verschlüsselungsstatus anzuzeigen. Wenn die Verschlüsselung für einige Elemente im Arbeitsbereich fehlgeschlagen ist, können Sie versuchen, einen anderen Schlüssel zu verwenden.

Zugriff widerrufen

Um den Zugriff auf Daten in einem Arbeitsbereich zu widerrufen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, widerrufen Sie den Schlüssel im Azure Key Vault. Innerhalb von 60 Minuten nach dem Widerrufen des Schlüssels schlagen Lese- und Schreibaufrufe an den Arbeitsbereich fehl.

Sie können einen kundenseitig verwalteten Verschlüsselungsschlüssel widerrufen, indem Sie die Zugriffsrichtlinie oder die Berechtigungen für den Schlüsseltresor ändern oder den Schlüssel löschen.

Um den Zugriff wieder herzustellen, stellen Sie den Zugriff auf den vom Kunden verwalteten Schlüssel im Key Vault wieder her.

Hinweis

Der Arbeitsbereich aktualisiert nicht automatisch den Schlüssel für die SQL-Datenbank in Microsoft Fabric. Stattdessen muss der Benutzer die CMK manuell erneut aktualisieren , um den Zugriff wiederherzustellen.

Deaktivieren der Verschlüsselung

Um die Verschlüsselung des Arbeitsbereichs mithilfe eines vom Kunden verwalteten Schlüssels zu deaktivieren, gehen Sie zu Arbeitsbereichseinstellungen und deaktivieren Sie die Option Vom Kunden verwaltete Schlüssel anwenden. Der Arbeitsbereich bleibt mit von Microsoft verwalteten Schlüsseln verschlüsselt.

Hinweis

Sie können vom Kunden verwaltete Schlüssel nicht deaktivieren, während die Verschlüsselung für eines der Fabric-Elemente in Ihrem Arbeitsbereich ausgeführt wird.

Überwachung

Sie können Verschlüsselungskonfigurationsanforderungen für Ihre Fabric-Arbeitsbereiche nachverfolgen, indem Sie Überwachungsprotokolleinträge verwenden. Die folgenden Vorgangsnamen werden in Überwachungsprotokollen verwendet:

  • Arbeitsbereichsverschlüsselung anwenden
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

Überlegungen und Einschränkungen

Bevor Sie Ihren Fabric-Arbeitsbereich mit einem vom Kunden verwalteten Schlüssel konfigurieren, sollten Sie die folgenden Einschränkungen berücksichtigen:

  • Die unten aufgeführten Daten sind nicht durch vom Kunden verwaltete Schlüssel geschützt:

    • Lakehouse-Spaltennamen, Tabellenformat, Tabellenkomprimierung.
    • Alle in den Spark Clustern gespeicherten Daten (daten, die in temporären Datenträgern als Teil von Shuffle- oder Data Spills oder RDD-Caches in einer Spark-Anwendung gespeichert sind) sind nicht geschützt. Dazu gehören alle Spark-Jobs aus Notizbüchern, Lakehouses, Definitionen von Spark-Jobs, Lakehouse-Tabellenlade- und Wartungsjobs, Shortcuts-Transformationen, Aktualisierungen von Materialisierten Ansichten in Fabric.
    • Die Auftragsprotokolle, die auf dem Historienserver gespeichert sind
    • Bibliotheken, die als Teil von Umgebungen angefügt oder als Teil der Spark-Sitzungsanpassung mithilfe von Magischen Befehlen hinzugefügt werden, sind nicht geschützt.
    • Beim Erstellen eines Pipeline- und Kopierauftrags generierte Metadaten, z. B. DB-Name, Tabelle, Schema
    • Metadaten von ML-Modell und Experiment, z. B. Modellname, Version, Metriken
    • Lagerabfragen für Object Explored und Back-End-Cache, die nach jeder Verwendung entfernt werden

  • CMK wird für alle F-SKUs unterstützt. Testkapazitäten können nicht für die Verschlüsselung mit CMK verwendet werden. CMK kann nicht für Arbeitsbereiche aktiviert werden, für die BYOK aktiviert ist, und CMK-Arbeitsbereiche können nicht auf Kapazitäten verschoben werden, für die BYOK aktiviert ist.

  • CMK kann über das Fabric-Portal aktiviert werden und verfügt nicht über API-Unterstützung.

  • CMK kann für den Arbeitsbereich aktiviert und deaktiviert werden, während die Verschlüsselungseinstellung auf Mandantenebene aktiviert ist. Sobald die Mandanteneinstellung deaktiviert ist, können Sie CMK für Arbeitsbereiche in diesem Mandanten nicht mehr aktivieren oder CMK für Arbeitsbereiche deaktivieren, für die CMK bereits in diesem Mandanten aktiviert ist. Daten in Arbeitsbereichen, die CMK aktiviert haben, bevor die Mandanteneinstellung deaktiviert wurde, bleiben mit dem vom Kunden verwalteten Schlüssel verschlüsselt. Lassen Sie den zugeordneten Schlüssel aktiv, um Daten in diesem Arbeitsbereich wieder zu entpacken.

Verwandte Inhalte

  • Last updated on