Cifrado de Azure Data Factory con claves administradas por el cliente

SE APLICA A: Azure Data Factory Azure Synapse Analytics

Azure Data Factory cifra los datos en reposo, incluidas las definiciones de entidades y los datos almacenados en caché mientras las ejecuciones están en curso. De forma predeterminada, los datos se cifran con una clave administrada por Microsoft que se genera aleatoriamente y que se asigna de forma única a la factoría de datos. Para reforzar aún más las medidas de seguridad, ahora puede habilitar Bring Your Own Key (BYOK) con la característica de claves administradas por el cliente de Azure Data Factory. Al especificar una clave administrada por el cliente (CMK), Data Factory usa tanto la clave del sistema de fábrica como la CMK para cifrar los datos del cliente. Si falta alguna de ellas, se deniega el acceso a los datos y a la factoría.

Azure Key Vault es necesario para almacenar las claves administradas por el cliente. Puede crear sus propias claves y almacenarlas en un almacén de claves, o puede usar las API de Azure Key Vault para generarlas. Key Vault y Azure Data Factory deben estar en el mismo inquilino de Microsoft Entra y en la misma región, pero pueden estar en distintas suscripciones. Para obtener más información sobre Azure Key Vault, consulte ¿Qué es Azure Key Vault?

Acerca de las claves administradas por el cliente

En el siguiente diagrama se muestra cómo Data Factory usa Microsoft Entra ID y Azure Key Vault para realizar solicitudes con la clave administrada por el cliente:

En la lista siguiente se explican los pasos numerados del diagrama:

1. Un administrador de Azure Key Vault concede permisos a las claves de cifrado para la identidad administrada que está asociada a la instancia de Data Factory.
2. Un administrador de Data Factory habilita la característica de claves administradas por el cliente en la factoría.
3. Data Factory usa la identidad administrada que está asociada a la factoría para autenticar el acceso a Azure Key Vault mediante Microsoft Entra ID
4. Data Factory encapsula la clave de cifrado de la factoría con la clave de cliente de Azure Key Vault.
5. En operaciones de lectura y escritura, Data Factory envía solicitudes a Azure Key Vault para desencapsular la clave de cifrado de la cuenta con el fin de realizar operaciones de cifrado y descifrado.

Hay dos maneras de incorporar el cifrado de claves administradas por el cliente a las factorías de datos. Una es en el momento de creación de la fábrica en Azure Portal y el otro es tras la creación de la fábrica, en la interfaz de usuario de Data Factory.

Requisitos previos: configuración de Azure Key Vault y generación de las claves

Habilitación de Eliminación temporal y No purgar en Azure Key Vault

Para usar las claves administradas por el cliente con Data Factory, es necesario establecer dos propiedades en Key Vault: Eliminación temporal y No purgar. Estas propiedades se pueden habilitar mediante PowerShell o la CLI de Azure en un almacén de claves nuevo o existente. Para obtener información sobre cómo habilitar estas propiedades en un almacén de claves existente, consulte Administración de la recuperación de Azure Key Vault con eliminación temporal y protección contra purga

Si va a crear una instancia de Azure Key Vault a través de Azure Portal, las propiedades Eliminación temporal y No purgan se pueden habilitar de la siguiente manera:

Concesión a Data Factory de acceso a Azure Key Vault

Asegúrese de que Azure Key Vault y Azure Data Factory estén en el mismo inquilino de Microsoft Entra y en la misma región. Puede usar directivas de acceso o permisos de control de acceso:

1. Directiva de acceso : en el almacén de claves, seleccione Directivas de acceso ->Agregar directiva de acceso -> busque la identidad administrada de Azure Data Factory y conceda permisos Get, Unwrap Key y Wrap Key en la lista desplegable Permisos secretos.

2. Control de acceso - Su identidad administrada necesitará dos roles en Control de acceso: Key Vault Crypto Service Encryption User y Key Vault Secrets User. En el almacén de claves, seleccione Control de acceso (IAM) ->+ Agregar ->Agregar asignación de roles. Seleccione uno de los roles y, a continuación, seleccione Siguiente. En Miembros , seleccione Identidad administrada y, a continuación, Seleccione miembros y busque la identidad administrada de Azure Data Factory. A continuación, seleccione Revisar y asignar. Repita el segundo rol.

• Si quiere agregar el cifrado de claves administradas por el cliente después de la creación de fábrica en la interfaz de usuario de Data Factory, asegúrese de que la identidad de servicio administrada (MSI) de Data Factory tiene los permisos correctos para Key Vault.
• Si quiere agregar el cifrado de claves administradas por el cliente durante el tiempo de creación de fábrica en Azure Portal, asegúrese de que la identidad administrada asignada por el usuario (UA-MI) tiene los permisos correctos para Key Vault.

Generación o carga de la clave administrada por el cliente en Azure Key Vault

Puede crear sus propias claves y almacenarlas en un almacén de claves. O bien, usar las API de Azure Key Vault para generar las claves. Solo se admiten las claves RSA con cifrado de Data Factory. También se admite RSA-HSM. Para más información, consulte el artículo About keys, secrets, and certificates (Claves, secretos y certificados).

Habilitar claves administradas del cliente

Tras la creación de la factoría en la interfaz de usuario de Data Factory

En esta sección se describe el proceso para agregar el cifrado de claves administradas por el cliente a la interfaz de usuario de Data Factory tras crear la factoría.

1. Asegúrese de que la instancia de Managed Service Identity (MSI) de la factoría de datos tiene los permisos Obtener, Desencapsular clave y Encapsular clave en Key Vault.

2. Asegúrese de que la instancia de Data Factory esté vacía. La factoría de datos no puede contener recursos como servicios vinculados, canalizaciones y flujos de datos. Por ahora, la implementación de una clave administrada por el cliente en una factoría que no esté vacía producirá un error.

3. Para buscar el URI de la clave en Azure Portal, vaya a Azure Key Vault y seleccione la opción de configuración Claves. Seleccione la clave deseada, luego seleccione la clave para ver sus versiones. Seleccione una de ellas para ver su configuración

4. Copie el valor del campo Identificador de clave, que proporciona el URI.

5. Inicie el portal de Azure Data Factory y, mediante la barra de navegación de la izquierda, salte al Portal de administración de Data Factory.

6. Seleccione el icono Clave administrada por el cliente

7. Escriba el URI de la clave administrada por el cliente que copió anteriormente.

8. Seleccione Guardar y el cifrado de claves administradas por el cliente esté habilitado para Data Factory.

Durante la creación de la factoría en Azure Portal

En esta sección se explican los pasos para agregar el cifrado de claves administradas por el cliente en Azure Portal durante la implementación de la factoría.

Para cifrar la factoría, Data Factory debe recuperar primero la clave administrada por el cliente de Key Vault. Dado que la implementación de la factoría todavía está en curso, Managed Service Identity (MSI) aún no está disponible para autenticarse mediante Key Vault. Por lo tanto, para usar este enfoque, el cliente debe asignar una identidad administrada asignada por el usuario (UA-MI) a la factoría de datos. Asumiremos los roles definidos en UA-MI y nos autenticaremos utilizando Key Vault.

Para obtener más información sobre la identidad administrada asignada por el usuario, consulte Tipos de identidad administrados y Asignación de un rol a una identidad administrada asignada por el usuario.

1. Asegúrese de que la identidad administrada asignada por el usuario (UA-MI) tiene los permisos Obtener, Desencapsular clave y Encapsular clave en Key Vault.

2. En la pestaña Opciones avanzadas, active la casilla Enable encryption using a customer managed key (Habilitar el cifrado mediante una clave administrada por el cliente)

3. Proporcione la URL de la clave administrada por el cliente almacenada en Key Vault.

   Sugerencia

   Si no pasa la versión de la clave en la dirección URL después de la última "/" (por ejemplo, https://mykeyvault.vault.azure.net/keys/cmk/), la versión siempre tendrá como valor predeterminado la versión más reciente si la clave se actualiza en el futuro.

   Actualmente, esto solo se admite mediante Azure Portal.

4. Seleccione una identidad administrada asignada por el usuario adecuada para autenticarse con Azure Key Vault.

5. Continúe con el despliegue en la fábrica.

Actualización de la versión de la clave

Al crear una nueva versión de una clave, actualice Data Factory para usar la nueva versión:

1. Busque el URI de la nueva versión de clave a través del portal de Azure Key Vault:

   1. Vaya a Azure Key Vault y seleccione la configuración Claves.
   2. Seleccione la clave deseada, luego seleccione la clave para ver sus versiones.
   3. Seleccione una versión de clave para ver la configuración.

2. Copie el valor del campo Identificador de clave, que proporciona el URI.

3. Inicie el portal de Azure Data Factory y, con la barra de navegación de la izquierda, seleccione el Portal de administración de Data Factory.

4. Seleccione la opción Clave administrada por el cliente .

5. Escriba el URI de la clave administrada por el cliente que copió antes.

6. Seleccione Guardar y Data Factory ahora cifrará con la nueva versión de clave.

Uso de una clave distinta

Para cambiar la clave usada para el cifrado de Data Factory, debe actualizar manualmente la configuración en Azure Data Factory:

1. Busque el URI de la nueva versión de clave a través del portal de Azure Key Vault:

   1. Vaya a Azure Key Vault y seleccione la configuración Claves.
   2. Seleccione la clave deseada, luego seleccione la clave para ver sus versiones.
   3. Seleccione una versión de clave para ver la configuración.

2. Copie el valor del campo Identificador de clave, que proporciona el URI.

3. Inicie el portal de Azure Data Factory y, con la barra de navegación de la izquierda, seleccione el Portal de administración de Data Factory.

4. Seleccione la opción Clave administrada por el cliente .

5. Escriba el URI para seleccionar que copió antes.

6. Seleccione Guardar y Data Factory ahora cifrará con la nueva versión de clave.

Deshabilitación de las claves administradas por el cliente

Por diseño, una vez habilitada la característica de selección, no se puede quitar el paso de seguridad adicional. Para cifrar la factoría y los datos, siempre se esperará una clave proporcionada por el cliente.

Clave administrada por el cliente e integración continua y despliegue continuo

De forma predeterminada, la configuración de CMK no se incluye en la plantilla de Azure Resource Manager de fábrica. Para incluir la configuración del cifrado de claves administradas por el cliente en la plantilla de Resource Manager para la integración continua y entrega continua (CI/CD):

1. Asegurarse de que la fábrica está en modo Git
2. Vaya al portal de administración, a la sección Clave administrada por el cliente
3. Active la opción Incluir en la plantilla de ARM.

La siguiente configuración se agregará en la plantilla ARM. Estas propiedades se pueden parametrizar en canalizaciones de integración y entrega continuas mediante la edición de la configuración de los parámetros de Azure Resource Manager.

Contenido relacionado

Consulte los tutoriales para obtener información acerca del uso de Data Factory en otros escenarios.