Klucze zarządzane przez klienta dla obszarów roboczych usługi Fabric

Usługa Microsoft Fabric szyfruje wszystkie dane magazynowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Za pomocą kluczy zarządzanych przez klienta dla obszarów roboczych usługi Fabric możesz użyć kluczy usługi Azure Key Vault , aby dodać kolejną warstwę ochrony do danych w obszarach roboczych usługi Microsoft Fabric — w tym wszystkie dane w usłudze OneLake. Klucz zarządzany przez klienta zapewnia większą elastyczność, umożliwiając zarządzanie jego rotacją, kontrolowanie dostępu i inspekcji użycia. Pomaga również organizacjom spełnić wymagania dotyczące ładu danych i zapewnić zgodność ze standardami ochrony danych i szyfrowania.

Jak działają klucze zarządzane przez klienta

Wszystkie magazyny danych Fabric są szyfrowane w stanie spoczynku przy użyciu kluczy zarządzanych przez firmę Microsoft. Klucze zarządzane przez klienta używają szyfrowania kopertowego, gdzie klucz szyfrowania kluczy (KEK) szyfruje klucz szyfrowania danych (DEK). W przypadku korzystania z kluczy zarządzanych przez klienta, klucz szyfrowania danych zarządzany przez firmę Microsoft szyfruje dane, a następnie klucz ten jest szyfrowany za pomocą klucza szyfrowania zarządzanego przez klienta (KEK). Użycie klucza KEK, który nigdy nie opuszcza usługi Key Vault, umożliwia szyfrowanie i kontrolowanie kluczy szyfrowania danych. To gwarantuje, że cała zawartość klienta w obszarze roboczym obsługującym klucz zarządzany przez klienta jest szyfrowana przy użyciu kluczy zarządzanych przez klienta.

Włączanie szyfrowania przy użyciu kluczy zarządzanych przez klienta dla obszaru roboczego

Administratorzy obszaru roboczego mogą skonfigurować szyfrowanie przy użyciu klucza zarządzanego przez klienta na poziomie obszaru roboczego. Gdy administrator obszaru roboczego włączy ustawienie w portalu, cała zawartość klienta przechowywana w tym obszarze roboczym jest szyfrowana przy użyciu określonego klucza zarządzanego przez klienta. CmK integruje się z zasadami dostępu usługi AKV i kontrolą dostępu opartą na rolach (RBAC), co pozwala na elastyczne definiowanie szczegółowych uprawnień na podstawie modelu zabezpieczeń organizacji. Jeśli zdecydujesz się wyłączyć szyfrowanie cmK później, obszar roboczy powróci do korzystania z kluczy zarządzanych przez firmę Microsoft. Klucz można również odwołać w dowolnym momencie, a dostęp do zaszyfrowanych danych zostanie zablokowany w ciągu godziny od odwołania. Dzięki szczegółowej kontroli na poziomie obszaru roboczego, podnosisz poziom zabezpieczeń swoich danych w platformie Fabric.

Obsługiwane elementy

Klucze zarządzane przez klienta są obecnie obsługiwane dla następujących elementów platformy Fabric:

• Lakehouse
• Magazyn
• Notatnik
• Środowisko
• Definicja zadania platformy Spark
• Interfejs API dla języka GraphQL
• Model uczenia maszynowego
• Eksperyment
• rurociąg
• Przepływ danych
• Rozwiązania dla przemysłu
• SQL Database (wersja zapoznawcza)

Nie można włączyć tej funkcji dla obszaru roboczego zawierającego nieobsługiwane elementy. Po włączeniu szyfrowania kluczy zarządzanych przez klienta dla obszaru roboczego Fabric, można tworzyć tylko obsługiwane elementy. Aby użyć nieobsługiwanych elementów, utwórz je w innym obszarze roboczym, który nie ma włączonej tej funkcji.

Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta dla obszaru roboczego

Klucz zarządzany przez klienta dla obszarów roboczych usługi Fabric wymaga wstępnej konfiguracji. Ta konfiguracja obejmuje włączenie ustawienia dzierżawy szyfrowania Fabric, skonfigurowanie usługi Azure Key Vault i przyznanie aplikacji CMK platformy Fabric dostępu do usługi Azure Key Vault. Po zakończeniu instalacji użytkownik z rolą obszaru roboczegoadministratora może włączyć tę funkcję w obszarze roboczym.

Krok 1: Włącz ustawienie dzierżawy Fabric

Administrator sieci szkieletowej musi upewnić się, że ustawienie Zastosuj klucze zarządzane przez klienta jest włączone. Aby uzyskać więcej informacji, zobacz Ustawienia dzierżawy szyfrowania.

Krok 2: Utwórz podmiot usługi dla aplikacji CMK Fabric Platform

Fabric używa aplikacji Fabric Platform CMK do uzyskiwania dostępu do usługi Azure Key Vault. Aby aplikacja działała, należy utworzyć jednostkę usługi dla dzierżawy. Ten proces jest wykonywany przez użytkownika, który ma uprawnienia identyfikatora Entra firmy Microsoft, takie jak administrator aplikacji w chmurze.

Postępuj zgodnie z instrukcjami w temacie Utwórz aplikację korporacyjną z aplikacji wielodostępowej w Microsoft Entra ID, aby utworzyć główny serwisu dla aplikacji o nazwie Fabric Platform CMK z identyfikatorem aplikacji 61d6811f-7544-4e75-a1e6-1c59c0383311 w dzierżawie Microsoft Entra ID.

Krok 3. Konfigurowanie usługi Azure Key Vault

Musisz skonfigurować usługę Key Vault, aby Fabric mogło uzyskać do niej dostęp. Ten krok jest wykonywany przez użytkownika, który ma uprawnienia usługi Key Vault, takie jak administrator usługi Key Vault. Aby uzyskać więcej informacji, zobacz Role zabezpieczeń platformy Azure.

1. Otwórz witrynę Azure Portal i przejdź do usługi Key Vault. Jeśli nie masz usługi Key Vault, postępuj zgodnie z instrukcjami w temacie Tworzenie magazynu kluczy przy użyciu witryny Azure Portal.

2. W usłudze Key Vault skonfiguruj następujące ustawienia:

   • Usuwanie miękkie - włączone
   • Ochrona przed przeczyszczaniem — włączono

3. W usłudze Key Vault otwórz pozycję Kontrola dostępu (IAM).

4. Z listy rozwijanej Dodaj wybierz pozycję Dodaj przypisanie roli.

5. Wybierz kartę Członkowie , a następnie kliknij pozycję Wybierz członków.

6. W okienku Wybieranie członków wyszukaj pozycję CMK platformy Fabric

7. Wybierz aplikację Fabric Platform CMK, a następnie kliknij Wybierz.

8. Wybierz kartę Rola i wyszukaj Użytkownika szyfrowania usługi kryptograficznej Key Vault lub rolę, która umożliwia uprawnienia do pobierania, zawijania klucza i odpakowywania klucza.

9. Wybierz pozycję Użytkownik szyfrowania usługi kryptograficznej usługi Key Vault.

10. Wybierz opcję Przejrzyj i przypisz, a następnie potwierdź wybór, ponownie wybierając Przejrzyj i przypisz.

Krok 4. Tworzenie klucza usługi Azure Key Vault

Aby utworzyć klucz usługi Azure Key Vault, postępuj zgodnie z instrukcjami w temacie Tworzenie magazynu kluczy przy użyciu witryny Azure Portal.

Wymagania dotyczące usługi Key Vault

Platforma obsługuje tylko klucze bez wersji zarządzane przez klienta, które są kluczami w formacie https://{vault-name}.vault.azure.net/{key-type}/{key-name} magazynów i https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} zarządzanych modułów HSM. System Fabric codziennie sprawdza magazyn kluczy w poszukiwaniu nowej wersji i używa najnowszej dostępnej wersji. Aby uniknąć okresu, w którym nie można uzyskać dostępu do danych w obszarze roboczym po utworzeniu nowego klucza, poczekaj 24 godziny przed wyłączeniem starszej wersji.

Usługa Key Vault i zarządzany moduł HSM muszą mieć włączoną ochronę usuwania nietrwałego i przeczyszczania, a klucz musi mieć typ RSA lub RSA-HSM. Obsługiwane rozmiary kluczy to:

• 2048 bitów
• 3072 bity
• 4096-bitowy

Aby uzyskać więcej informacji, zobacz About keys (Informacje o kluczach).

Możesz również użyć usługi Azure Key Vault, dla których włączono ustawienie zapory. Po wyłączeniu publicznego dostępu do usługi Key Vault możesz wybrać opcję "Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory".

Krok 5. Włączanie szyfrowania przy użyciu kluczy zarządzanych przez klienta

Po spełnieniu wymagań wstępnych wykonaj kroki opisane w tej sekcji, aby włączyć klucze zarządzane przez klienta w obszarze roboczym sieć szkieletowa.

1. W obszarze roboczym Fabric wybierz pozycję Ustawienia obszaru roboczego.

2. W okienku Ustawienia obszaru roboczego wybierz pozycję Szyfrowanie.

3. Włącz opcję Zastosuj klucze zarządzane przez klienta.

4. W polu Identyfikator klucza wprowadź identyfikator klucza zarządzanego przez klienta.

5. Wybierz i zastosuj.

Po wykonaniu tych kroków obszar roboczy zostanie zaszyfrowany przy użyciu klucza zarządzanego przez klienta. Oznacza to, że wszystkie dane w usłudze Onelake są szyfrowane i że istniejące i przyszłe elementy w obszarze roboczym będą szyfrowane za pomocą klucza zarządzanego przez klienta używanego do instalacji. Stan szyfrowania Aktywny, W toku lub Niepowodzenie można przejrzeć na karcie Szyfrowanie w ustawieniach obszaru roboczego. Elementy, dla których trwa szyfrowanie lub niepowodzenie, są również wymienione w kategorii. Klucz musi pozostać aktywny w usłudze Key Vault, gdy szyfrowanie jest w toku (stan: w toku). Odśwież stronę, aby wyświetlić najnowszy stan szyfrowania. Jeśli szyfrowanie nie powiodło się dla niektórych elementów w obszarze roboczym, możesz ponowić próbę przy użyciu innego klucza.

Odwoływanie dostępu

Aby odwołać dostęp do danych w obszarze roboczym zaszyfrowanym przy użyciu klucza zarządzanego przez klienta, odwołaj klucz w usłudze Azure Key Vault. W ciągu 60 minut od momentu odwołania klucza odczyt i zapis wywołań do obszaru roboczego kończy się niepowodzeniem.

Klucz szyfrowania zarządzanego przez klienta można odwołać, zmieniając zasady dostępu, zmieniając uprawnienia w magazynie kluczy lub usuwając klucz.

Aby przywrócić dostęp, przywróć dostęp do klucza zarządzanego przez klienta w usłudze Key Vault.

Wyłączanie szyfrowania

Aby wyłączyć szyfrowanie obszaru roboczego przy użyciu klucza zarządzanego przez klienta, przejdź do pozycji Ustawienia obszaru roboczego , aby wyłączyć opcję Zastosuj klucze zarządzane przez klienta. Obszar roboczy pozostaje zaszyfrowany przy użyciu kluczy zarządzanych przez firmę Microsoft.

Nadzorowanie

Żądania konfiguracji szyfrowania dla obszarów roboczych usługi Fabric można śledzić według wpisów dziennika inspekcji. Następujące nazwy operacji są używane w dziennikach inspekcji:

• ZastosujSzyfrowaniePrzestrzeniRoboczej
• DisableWorkspaceEncryption
• GetWorkspaceEncryption

Uwagi i ograniczenia

Przed skonfigurowaniem obszaru roboczego usługi Fabric przy użyciu klucza zarządzanego przez klienta należy wziąć pod uwagę następujące ograniczenia:

• Dane wymienione poniżej nie są chronione za pomocą kluczy zarządzanych przez klienta:

  • Nazwy kolumn lakehouse, format tabeli, kompresja tabeli.
  • Wszystkie dane przechowywane w klastrach Spark (dane przechowywane na dyskach tymczasowych w ramach przetasowań lub wycieków danych albo pamięci podręcznych RDD w aplikacji Spark) nie są chronione. Obejmuje to wszystkie zadania Spark z notesów, lakehouses, definicje zadań Spark, ładowanie tabel i konserwację lakehouses, przekształcenia skrótów oraz odświeżanie zmaterializowanych widoków Fabric.
  • Dzienniki zadań przechowywane na serwerze historii
  • Biblioteki dołączone w ramach środowisk lub dodane w ramach dostosowywania sesji platformy Spark przy użyciu poleceń magic nie są chronione
  • Metadane generowane podczas tworzenia zadania typu 'Pipeline' i 'Copy', takie jak nazwa bazy danych, tabela, schemat
  • Metadane modelu uczenia maszynowego i eksperymentu, takie jak nazwa modelu, wersja, metryki
  • Zapytania magazynu na temat Object Explored oraz pamięci podręcznej zaplecza, które są opróżniane po każdym użyciu.

• CMK jest obsługiwane we wszystkich SKU F. Zasoby testowe nie mogą być używane do szyfrowania przy użyciu CMK. Nie można włączyć klucza zarządzanego przez klienta dla obszarów roboczych z włączoną usługą BYOK i nie można przenieść ich do pojemności, dla których włączono usługę BYOK.

• Klucz CMK można włączyć za pomocą portalu Fabric, ale nie ma obsługi interfejsu API.

• CMK można włączyć i wyłączyć dla obszaru roboczego, pod warunkiem że ustawienie szyfrowania na poziomie dzierżawy jest aktywne. Po wyłączeniu ustawień dzierżawy, nie można już włączyć CMK dla obszarów roboczych w tej dzierżawie ani wyłączyć CMK dla obszarów roboczych, które mają już je włączone w tej dzierżawie. Dane w obszarach roboczych, które włączyły klucz CMK zanim ustawienie dzierżawy zostało wyłączone, pozostaną zaszyfrowane przy użyciu klucza zarządzanego przez klienta. Podtrzymuj aktywność powiązanego klucza, aby móc rozpakowywać dane w tym obszarze roboczym.

Treści powiązane

• Podstawy zabezpieczeń

• Licencje usługi Microsoft Fabric