Partager via

Clés gérées par le client pour les espaces de travail Fabric

Microsoft Fabric chiffre toutes les données au repos à l’aide de clés gérées par Microsoft. Avec les clés gérées par le client pour les espaces de travail Fabric, vous pouvez utiliser vos clés Azure Key Vault pour ajouter une autre couche de protection aux données de vos espaces de travail Microsoft Fabric, y compris toutes les données dans OneLake. Une clé gérée par le client offre une plus grande flexibilité, ce qui vous permet de gérer sa rotation, contrôler l’accès et l’audit de l’utilisation. Elle aide également les organisations à répondre aux besoins de gouvernance des données et à se conformer aux normes de protection et de chiffrement des données.

Fonctionnement des clés gérées par le client

Tous les magasins de données Fabric sont chiffrés au repos avec des clés gérées par Microsoft. Les clés gérées par le client utilisent le chiffrement d’enveloppe, où une clé de chiffrement de clé (KEK) chiffre une clé de chiffrement de données (DEK). Lorsque vous utilisez des clés gérées par le client, microsoft managed DEK chiffre vos données, puis la clé DEK est chiffrée à l’aide de votre clé KEK gérée par le client. L’utilisation d’une clé KEK qui ne laisse jamais Key Vault permet aux clés de chiffrement de données elles-mêmes d’être chiffrées et contrôlées. Cela garantit que tout le contenu client d’un espace de travail compatible CMK est chiffré à l’aide de vos clés gérées par le client.

Activer le chiffrement avec des clés gérées par le client pour votre espace de travail

Les administrateurs d’espace de travail peuvent configurer le chiffrement à l’aide de CMK au niveau de l’espace de travail. Une fois que l’administrateur de l’espace de travail active le paramètre dans le portail, tout le contenu client stocké dans cet espace de travail est chiffré à l’aide de la clé CMK spécifiée. CMK s’intègre aux stratégies d’accès d’AKV et au contrôle d’accès en fonction du rôle (RBAC), ce qui vous permet de définir des autorisations granulaires en fonction du modèle de sécurité de votre organisation. Si vous choisissez de désactiver le chiffrement CMK ultérieurement, l’espace de travail revient à utiliser des clés gérées par Microsoft. Vous pouvez également révoquer la clé à tout moment et l'accès aux données chiffrées est bloqué dans l'heure qui suit la révocation. Avec une granularité et un contrôle au niveau de l’espace de travail, vous augmentez la sécurité de vos données dans Fabric.

Éléments pris en charge

Les clés gérées par le client sont actuellement prises en charge pour les éléments Fabric suivants :

  • Lakehouse
  • Entrepôt
  • Notebook
  • Environnement
  • Définition de la tâche Spark
  • API pour GraphQL
  • Modèle ML
  • Expérience
  • Pipeline
  • Flux de données
  • Solutions sectorielles
  • SQL Database (préversion)

Cette fonctionnalité ne peut pas être activée pour un espace de travail qui contient des éléments non pris en charge. Lorsque le chiffrement de clé géré par le client pour un espace de travail Fabric est activé, seuls les éléments pris en charge peuvent être créés dans cet espace de travail. Pour utiliser des éléments non pris en charge, créez-les dans un autre espace de travail pour lequel cette fonctionnalité n’est pas activée.

Configurer le chiffrement avec des clés gérées par le client pour votre espace de travail

La clé gérée par le client pour les espaces de travail Fabric nécessite une configuration initiale. Cette configuration inclut l’activation du paramètre de locataire de chiffrement Fabric, la configuration d’Azure Key Vault et l’octroi de l’accès de l’application CMK Fabric Platform à Azure Key Vault. Une fois l’installation terminée, un utilisateur disposant d’un rôle d’espace de travailadministrateur peut activer la fonctionnalité sur l’espace de travail.

Étape 1 : Activer le paramètre de locataire Fabric

Un administrateur Fabric doit s’assurer que le paramètre Appliquer les clés gérées par le client est activé. Pour plus d’informations, consultez l’article sur le paramètre de locataire de chiffrement .

Étape 2 : Créer un principal de service pour l’application CMK de la plateforme Fabric

Fabric utilise l’application CMK Fabric Platform pour accéder à votre coffre de clés Azure. Pour que l’application fonctionne, un principal de service doit être créé pour le client. Ce processus est effectué par un utilisateur disposant de privilèges d’ID Microsoft Entra, tels qu’un administrateur d’application cloud.

Suivez les instructions de création d’une application d’entreprise à partir d’une application mutualisée dans Microsoft Entra ID pour créer un principal de service pour une application appelée Fabric Platform CMK avec l’ID d’application 61d6811f-7544-4e75-a1e6-1c59c0383311 dans votre locataire Microsoft Entra ID.

Étape 3 : Configurer Azure Key Vault

Vous devez configurer votre coffre de clés afin que Fabric puisse y accéder. Cette étape est effectuée par un utilisateur disposant de privilèges Key Vault, tels qu’un administrateur Key Vault. Pour plus d’informations, consultez les rôles De sécurité Azure.

  1. Ouvrez le portail Azure et accédez à votre coffre de clés. Si vous n’avez pas Key Vault, suivez les instructions fournies dans Créer un coffre de clés à l’aide du portail Azure.

  2. Dans votre coffre de clés, configurez les paramètres suivants :

  3. Dans votre coffre de clés, ouvrez le contrôle d’accès (IAM) .

  4. Dans la liste déroulante Ajouter , sélectionnez Ajouter une attribution de rôle.

  5. Sélectionnez l’onglet Membres , puis cliquez sur Sélectionner des membres.

  6. Dans le volet Sélectionner des membres, recherchez fabric Platform CMK

  7. Sélectionnez l’application CMK de la plateforme Fabric , puis sélectionnez.

  8. Sélectionnez l’onglet Rôle et recherchez Key Vault Crypto Service Encryption User ou un rôle qui active les autorisations get, wrapkey et unwrap key.

  9. Sélectionnez Key Vault Crypto Service Encryption User.

  10. Sélectionnez Vérifier + affecter , puis Vérifier + attribuer pour confirmer votre choix.

Étape 4 : Créer une clé Azure Key Vault

Pour créer une clé Azure Key Vault, suivez les instructions fournies dans Créer un coffre de clés à l’aide du portail Azure.

Configuration requise pour Key Vault

Fabric ne prend en charge que les clés sans version gérées par le client, qui sont des clés au format https://{vault-name}.vault.azure.net/{key-type}/{key-name} pour les coffres et https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} pour le HSM managé. Fabric vérifie quotidiennement le coffre de clés pour obtenir une nouvelle version et utilise la dernière version disponible. Pour éviter d’avoir une période où vous ne pouvez pas accéder aux données dans l’espace de travail après la création d’une nouvelle clé, attendez 24 heures avant de désactiver l’ancienne version.

Key Vault et Managed HSM doivent avoir la protection de suppression réversible et de vidage activée et la clé doit être de type RSA ou RSA-HSM. Les tailles de clé prises en charge sont les suivantes :

  • 2 048 bits
  • 3 072 bits
  • 4 096 bits

Pour plus d’informations sur les clés, consultez À propos des clés.

Note

Les clés 4 096 bits ne sont pas prises en charge dans les bases de données SQL de Microsoft Fabric.

Vous pouvez également utiliser des coffres de clés Azure pour lesquels le paramètre de pare-feu est activé. Lorsque vous désactivez l’accès public au coffre de clés, vous pouvez choisir l’option « Autoriser les services Microsoft approuvés à contourner ce pare-feu ».

Étape 5 : Activer le chiffrement à l’aide de clés gérées par le client

Une fois les prérequis terminés, suivez les étapes décrites dans cette section pour activer les clés gérées par le client dans votre espace de travail Fabric.

  1. Dans votre espace de travail Fabric, sélectionnez Paramètres de l’espace de travail.

  2. Dans le volet Paramètres de l’espace de travail , sélectionnez Chiffrement.

  3. Activez Appliquer des clés gérées par le client.

  4. Dans le champ Identificateur de clé , entrez votre identificateur de clé géré par le client.

  5. Sélectionnez Appliquer.

Une fois ces étapes terminées, votre espace de travail est chiffré avec une clé gérée par le client. Cela signifie que toutes les données dans Onelake sont chiffrées et que les éléments existants et futurs de l’espace de travail seront chiffrés par la clé gérée par le client que vous avez utilisée pour l’installation. Vous pouvez passer en revue l’état de chiffrement Actif, En cours ou Échec dans l’onglet Chiffrement dans les paramètres de l’espace de travail. Les éléments pour lesquels le chiffrement est en cours ou qui ont échoué sont répertoriés par catégorie. La clé doit rester active dans le coffre de clés pendant que le chiffrement est en cours (État : En cours). Actualisez la page pour afficher l’état du chiffrement le plus récent. Si le chiffrement a échoué pour certains éléments de l’espace de travail, vous pouvez réessayer à l’aide d’une autre clé.

Révoquer l’accès

Pour révoquer l’accès aux données d’un espace de travail chiffré à l’aide d’une clé gérée par le client, révoquez la clé dans Azure Key Vault. Dans les 60 minutes suivant la révocation de la clé, la lecture et l’écriture des appels à l’espace de travail échouent.

Vous pouvez révoquer la clé de chiffrement gérée par le client en modifiant la stratégie d’accès, en modifiant les autorisations sur le coffre de clés ou en supprimant la clé.

Pour rétablir l’accès, restaurez l’accès à la clé gérée par le client dans le coffre de clés.

Note

L’espace de travail ne revalide pas automatiquement la clé pour SQL Database dans Microsoft Fabric. Au lieu de cela, l’utilisateur doit revalider manuellement la clé CMK pour restaurer l’accès.

Désactiver le chiffrement

Pour désactiver le chiffrement de l’espace de travail à l’aide d’une clé gérée par le client, accédez aux paramètres de l’espace de travail pour désactiver l’application des clés gérées par le client. L’espace de travail reste chiffré à l’aide de clés managées Microsoft.

Note

Vous ne pouvez pas désactiver les clés gérées par le client pendant que le chiffrement des éléments Fabric de votre espace de travail est en cours.

Supervision

Vous pouvez suivre les demandes de configuration de chiffrement pour vos espaces de travail Fabric en entrant le journal d’audit. Les noms d’opération suivants sont utilisés dans les journaux d’audit :

  • ApplyWorkspaceEncryption
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

Considérations et limitations

Avant de configurer votre espace de travail Fabric avec une clé gérée par le client, tenez compte des limitations suivantes :

  • Les données répertoriées ci-dessous ne sont pas protégées par des clés gérées par le client :

    • Noms de colonnes de Lakehouse, format de table, compression de tableau.
    • Toutes les données stockées dans les clusters Spark (données stockées dans des disques temporaires dans le cadre d’un déploiement aléatoire ou de déversements de données ou de caches RDD dans une application Spark) ne sont pas protégées. Cela inclut tous les jobs Spark à partir de notebooks, de Lakehouses, de définitions de jobs Spark, de travaux de chargement et de maintenance de tables Lakehouse, de transformations par raccourci, d'actualisation de la vue matérialisée Fabric.
    • Journaux de tâches stockés dans un serveur d’historique
    • Les bibliothèques attachées dans le cadre d’environnements ou ajoutées dans le cadre de la personnalisation de session Spark à l’aide de commandes magiques ne sont pas protégées
    • Métadonnées générées lors de la création d’un travail de pipeline et de copie, telles que le nom de la base de données, la table, le schéma
    • Métadonnées du modèle ML et de l’expérience, telles que le nom du modèle, la version, les métriques
    • Requêtes d'entrepôt sur Object Explored et le cache back-end, qui est supprimé après chaque utilisation.

  • CMK est pris en charge pour tous les F SKU. Les capacités d’évaluation ne peuvent pas être utilisées pour le chiffrement à l’aide de CMK. CMK ne peut pas être activé pour les espaces de travail sur lesquels BYOK est activé et les espaces de travail CMK ne peuvent pas être déplacés vers des capacités pour lesquelles BYOK est activé.

  • CMK peut être activé à l’aide du portail Fabric et ne prend pas en charge les API.

  • CmK peut être activé et désactivé pour l’espace de travail pendant que le paramètre de chiffrement au niveau du locataire est activé. Une fois que le paramètre de locataire est désactivé, vous ne pouvez plus activer CMK pour les espaces de travail de ce locataire ou désactiver CMK pour les espaces de travail qui ont déjà activé CMK dans ce locataire. Les données dans les espaces de travail qui ont activé CMK avant que le paramètre client n’ait été désactivé restent chiffrées avec la clé gérée par le client. Conservez la clé associée active pour pouvoir désencapsuler les données dans cet espace de travail.

Contenu connexe

  • Last updated on