다음을 통해 공유

패브릭 작업 영역에 대한 고객 관리형 키

Microsoft Fabric은 Microsoft 관리형 키를 사용하여 저장 데이터를 모두 암호화합니다. 패브릭 작업 영역에 대한 고객 관리형 키를 사용하면 Azure Key Vault 키를 사용하여 OneLake의 모든 데이터를 포함하여 Microsoft Fabric 작업 영역의 데이터에 다른 보호 계층을 추가할 수 있습니다. 고객 관리형 키는 더 큰 유연성을 제공하므로 회전, 제어 액세스 및 사용 감사를 관리할 수 있습니다. 또한 조직이 데이터 거버넌스 요구 사항을 충족하고 데이터 보호 및 암호화 표준을 준수하는 데 도움이 됩니다.

고객 관리형 키 작동 방식

모든 패브릭 데이터 저장소는 Microsoft 관리형 키를 사용하여 미사용 시 암호화됩니다. 고객 관리형 키는 봉투 암호화를 사용합니다. 여기서 KEK(키 암호화 키)는 DEK(데이터 암호화 키)를 암호화합니다. 고객 관리형 키를 사용하는 경우 Microsoft 관리 DEK는 데이터를 암호화한 다음 DEK는 고객 관리형 KEK를 사용하여 암호화됩니다. Key Vault를 벗어나지 않는 KEK를 사용하면 데이터 암호화 키 자체를 암호화하고 제어할 수 있습니다. 이렇게 하면 CMK 사용 작업 영역의 모든 고객 콘텐츠가 고객 관리형 키를 사용하여 암호화됩니다.

작업 영역에 대해 고객 관리형 키를 사용하여 암호화 사용

작업 영역 관리자는 작업 영역 수준에서 CMK를 사용하여 암호화를 설정할 수 있습니다. 작업 영역 관리자가 포털에서 설정을 사용하도록 설정하면 해당 작업 영역에 저장된 모든 고객 콘텐츠가 지정된 CMK를 사용하여 암호화됩니다. CMK는 AKV의 액세스 정책 및 RBAC(역할 기반 액세스 제어)와 통합되어 조직의 보안 모델을 기반으로 세분화된 권한을 유연하게 정의할 수 있습니다. 나중에 CMK 암호화를 사용하지 않도록 선택하면 작업 영역이 Microsoft 관리형 키를 사용하여 되돌아갑니다. 언제든지 키를 해지할 수 있으며 암호화된 데이터에 대한 액세스는 해지 후 1시간 이내에 차단됩니다. 작업 영역 수준 세분성 및 제어를 사용하면 Fabric에서 데이터의 보안을 높일 수 있습니다.

지원되는 항목

고객 관리형 키는 현재 다음 패브릭 항목에 대해 지원됩니다.

  • 레이크하우스
  • 창고
  • Notebook
  • 환경
  • Spark 작업 정의
  • GraphQL용 API
  • ML 모델
  • 실험
  • Pipeline
  • 데이터 흐름
  • 산업 솔루션
  • SQL Database(미리 보기)

지원되지 않는 항목이 포함된 작업 영역에는 이 기능을 사용하도록 설정할 수 없습니다. 패브릭 작업 영역에 대한 고객 관리형 키 암호화를 사용하도록 설정하면 해당 작업 영역에서 지원되는 항목만 만들 수 있습니다. 지원되지 않는 항목을 사용하려면 이 기능을 사용하도록 설정하지 않은 다른 작업 영역에서 만듭니다.

작업 영역에 대한 고객 관리형 키를 사용하여 암호화 구성

패브릭 작업 영역에 대한 고객 관리형 키를 사용하려면 초기 설정이 필요합니다. 이 설정에는 패브릭 암호화 테넌트 설정 사용, Azure Key Vault 구성 및 Azure Key Vault에 대한 Fabric Platform CMK 앱 액세스 권한 부여가 포함됩니다. 설정이 완료되면 관리자작업 영역 역할을 가진 사용자가 작업 영역에서 기능을 사용하도록 설정할 수 있습니다.

1단계: 패브릭 테넌트 설정 활성화

패브릭 관리자는고객 관리형 키 적용 설정을 사용하도록 설정해야 합니다. 자세한 내용은 암호화 테넌트 설정 문서를 참조하세요.

2단계: 패브릭 플랫폼 CMK 앱에 대한 서비스 주체 만들기

Fabric은 패브릭 플랫폼 CMK 앱을 사용하여 Azure Key Vault에 액세스합니다. 앱이 작동하려면 테넌트에 대한 서비스 주체 를 만들어야 합니다. 이 프로세스는 클라우드 애플리케이션 관리자와 같은 Microsoft Entra ID 권한이 있는 사용자가 수행합니다.

Microsoft Entra ID의 다중 테넌트 애플리케이션에서 엔터프라이즈 애플리케이션 만들기의 지침에 따라 Microsoft Entra ID 테넌트에서 앱 ID가 61d6811f-7544-4e75-a1e6-1c59c0383311Fabric Platform CMK라는 애플리케이션에 대한 서비스 주체를 만듭니다.

3단계: Azure Key Vault 구성

Fabric에서 액세스할 수 있도록 Key Vault를 구성해야 합니다. 이 단계는 Key Vault 관리자와 같은 Key Vault 권한이 있는 사용자가 수행합니다. 자세한 내용은 Azure 보안 역할을 참조하세요.

  1. Azure Portal을 열고 Key Vault로 이동합니다. Key Vault가 없는 경우 Azure portal을 사용하여 키 자격 증명 모음을 생성 지침을 따르세요.

  2. Key Vault에서 다음 설정을 구성합니다.

  3. Key Vault에서 액세스 제어(IAM)를 엽니다.

  4. 추가 드롭다운에서 역할 할당 추가를 선택합니다.

  5. 구성원 탭을 선택한 다음 구성원 선택을 클릭합니다.

  6. 멤버 선택 창에서 패브릭 플랫폼 CMK를 검색합니다.

  7. 패브릭 플랫폼 CMK 앱을 선택한 다음, 선택합니다.

  8. 역할 탭을 선택하고 Key Vault Crypto 서비스 암호화 사용자 또는 키 권한 가져오기, 래핑 키 및 래핑 해제를 사용하도록 설정하는 역할을 검색합니다.

  9. Key Vault Crypto Service 암호화 사용자를 선택합니다.

  10. 검토 + 할당을 선택한 다음 검토 + 할당을 선택하여 선택 사항을 확인합니다.

4단계: Azure Key Vault 키 만들기

Azure Key Vault 키를 만들려면 Azure Portal을 사용하여 키 자격 증명 모음 만들기의 지침을 따릅니다.

Key Vault 요구 사항

Fabric은 버전 없는 고객 관리형 키만 지원하며, 이러한 키는 자격 증명 모음에 대한 키 형식 https://{vault-name}.vault.azure.net/{key-type}/{key-name}과 관리형 HSM에 대한 키 형식 https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name}입니다. 패브릭은 매일 키 자격 증명 모음에서 새 버전을 확인하고 최신 버전을 사용합니다. 새 키를 만든 후 작업 영역의 데이터에 액세스할 수 없는 기간이 없도록 하려면 이전 버전을 사용하지 않도록 설정하기 전에 24시간을 기다립니다.

Key Vault 및 관리형 HSM은 일시 삭제 및 제거 보호를 모두 사용하도록 설정해야 하며 키는 RSA 또는 RSA-HSM 유형이어야 합니다. 지원되는 키 크기는 다음과 같습니다.

  • 2,048비트
  • 3,072비트
  • 4,096비트

자세한 내용은 키 정보를 참조하세요.

비고

Microsoft Fabric의 SQL 데이터베이스에는 4,096비트 키가 지원되지 않습니다.

방화벽 설정이 활성화된 Azure Key Vault를 사용할 수도 있습니다. Key Vault에 대한 공용 액세스를 사용하지 않도록 설정하면 '신뢰할 수 있는 Microsoft 서비스가 이 방화벽을 무시하도록 허용' 옵션을 선택할 수 있습니다.

5단계: 고객 관리형 키를 사용하여 암호화 사용

필수 구성 요소를 완료한 후 이 섹션의 단계에 따라 Fabric 작업 영역에서 고객 관리형 키를 사용하도록 설정합니다.

  1. 패브릭 작업 영역에서 작업 영역 설정을 선택합니다.

  2. 작업 영역 설정 창에서 암호화를 선택합니다.

  3. 고객 관리형 키 적용을 사용하도록 설정합니다.

  4. 키 식별자 필드에 고객 관리형 키 식별자를 입력합니다.

  5. 적용을 선택합니다.

이러한 단계를 완료하면 작업 영역이 고객 관리형 키로 암호화됩니다. 즉, Onelake의 모든 데이터가 암호화되고 작업 영역의 기존 및 향후 항목이 설정에 사용한 고객 관리형 키로 암호화됩니다. 작업 영역 설정의 암호화 탭 에서 활성, 진행 중 또는 실패한암호화 상태를 검토할 수 있습니다. 암호화가 진행 중이거나 실패한 항목도 범주적으로 나열됩니다. 암호화가 진행 중인 동안 키는 Key Vault에서 활성 상태로 유지되어야 합니다 (상태: 진행 중). 페이지를 새로 고쳐 최신 암호화 상태를 확인합니다. 작업 영역의 일부 항목에 대해 암호화가 실패한 경우 다른 키를 사용하여 다시 시도할 수 있습니다.

액세스 취소

고객 관리형 키를 사용하여 암호화된 작업 영역의 데이터에 대한 액세스를 취소하려면 Azure Key Vault에서 키를 해지합니다. 키가 해지된 후 60분 이내에 작업 영역에 대한 읽기 및 쓰기 호출이 실패합니다.

고객 관리형 암호화 키는 액세스 정책을 변경하거나 Key Vault에 대한 권한을 변경하거나 키를 삭제하여 해지할 수 있습니다.

액세스를 복원하려면 Key Vault에서 고객 관리형 키에 대한 액세스를 복원합니다.

비고

작업 영역은 Microsoft Fabric에서 SQL Database에 대한 키의 유효성을 자동으로 다시 검사하지 않습니다. 대신 사용자가 수동으로 CMK의 유효성을 다시 검사하여 액세스를 복원해야 합니다.

암호화 사용 안 함

고객 관리형 키를 사용하여 작업 영역 암호화를 사용하지 않도록 설정하려면 작업 영역 설정 으로 이동하여 고객 관리형 키 적용을 사용하지 않도록 설정합니다. 작업 영역은 Microsoft 관리형 키를 사용하여 암호화된 상태로 유지됩니다.

비고

작업 영역의 패브릭 항목에 대한 암호화가 진행 중인 동안에는 고객 관리형 키를 사용하지 않도록 설정할 수 없습니다.

모니터링

감사 로그 항목을 통해 패브릭 작업 영역에 대한 암호화 구성 요청을 추적할 수 있습니다. 감사 로그에 사용되는 작업 이름은 다음과 같습니다.

  • 워크스페이스 암호화 적용
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

고려사항 및 제한사항

고객 관리형 키를 사용하여 패브릭 작업 영역을 구성하기 전에 다음 제한 사항을 고려합니다.

  • 아래에 나열된 데이터는 고객 관리형 키로 보호되지 않습니다.

    • Lakehouse 열 이름, 테이블 형식, 테이블 압축
    • Spark 클러스터에 저장된 모든 데이터(셔플, 데이터 스필 또는 Spark 애플리케이션의 RDD 캐시에 임시 디스크에 저장된 데이터)는 보호되지 않습니다. 여기에는 노트북, 레이크하우스, 스파크 잡 정의, 레이크하우스 테이블 로드 및 유지 관리 작업, 바로 가기 변환, 패브릭 구체화된 뷰 새로 고침의 모든 스파크 작업이 포함됩니다.
    • 기록 서버에 저장된 작업 로그
    • 환경의 일부로 연결되거나 매직 명령을 사용하여 Spark 세션 사용자 지정의 일부로 추가된 라이브러리는 보호되지 않습니다.
    • 파이프라인 및 복사 작업을 만들 때 생성되는 메타데이터(예: DB 이름, 테이블, 스키마)
    • 모델 이름, 버전, 메트릭과 같은 ML 모델 및 실험의 메타데이터
    • 개체 탐색 및 백 엔드 캐시에 대한 웨어하우스 쿼리는 각 사용 후에 제거됩니다.

  • CMK는 모든 F SKU에서 지원됩니다. 평가판 용량은 CMK를 사용하는 암호화에 사용할 수 없습니다. BYOK를 사용하도록 설정된 작업 영역에는 CMK를 사용할 수 없으며, BYOK를 사용하도록 설정된 용량으로 CMK 작업 영역을 이동할 수 없습니다.

  • CMK는 패브릭 포털을 사용하여 사용하도록 설정할 수 있으며 API 지원이 없습니다.

  • 테넌트 수준 암호화 설정이 설정된 동안 작업 영역에 대해 CMK를 사용하도록 설정하고 사용하지 않도록 설정할 수 있습니다. 테넌트 설정이 꺼지면 해당 테넌트에서 작업 영역에 CMK를 더 이상 사용하도록 설정하거나 해당 테넌트에서 이미 CMK가 켜져 있는 작업 영역에 대해 CMK를 사용하지 않도록 설정할 수 없습니다. 테넌트 설정이 해제되기 전에 CMK를 사용하도록 설정한 작업 영역의 데이터는 고객 관리형 키로 암호화된 상태로 유지됩니다. 연결된 키를 활성 상태로 유지하여 해당 작업 영역에서 데이터를 래프 해제할 수 있습니다.

관련 콘텐츠

  • Last updated on