Поделиться через

Управляемые клиентом ключи для рабочих областей Fabric

Microsoft Fabric шифрует все данные в состоянии покоя с помощью ключей, управляемых корпорацией Майкрософт. С помощью ключей, управляемых клиентом для рабочих областей Fabric, вы можете использовать ключи Azure Key Vault , чтобы добавить еще один уровень защиты к данным в рабочих областях Microsoft Fabric. Управляемый клиентом ключ обеспечивает большую гибкость, позволяя управлять его ротацией, контролировать доступ и аудит использования. Она также помогает организациям соответствовать потребностям управления данными и соответствовать стандартам защиты и шифрования данных.

Все хранилища данных Fabric зашифрованы в состоянии покоя с помощью ключей, управляемых компанией Microsoft. Ключи, управляемые клиентом, используют конвертное шифрование, где ключ шифрования ключей (KEK) шифрует ключ шифрования данных (DEK). При использовании ключей, управляемых клиентом, управляемый корпорацией Майкрософт DEK шифрует данные, а затем DEK шифруется с помощью управляемого клиентом KEK. Использование KEK, которое никогда не покидает Key Vault, позволяет самостоятельно шифровать и контролировать ключи шифрования данных.

Это важно

Эта функция доступна в предварительной версии.

Предпосылки

Для рабочих областей Fabric с ключом, управляемым клиентом, требуется первоначальная настройка. Эта настройка включает включение параметра клиента шифрования Fabric, настройку Azure Key Vault и предоставление приложению CMK платформы Fabric доступ к Azure Key Vault. После завершения установки пользователь с ролью рабочей областиадминистратора может включить функцию в рабочей области.

Шаг 1. Включение параметра клиента Fabric

Администратор Структуры должен убедиться, что включен параметр "Применить ключи, управляемые клиентом". Дополнительные сведения см. в статье о настройке клиента шифрования .

Шаг 2. Создание представителя службы для приложения CMK на платформе Fabric

Fabric использует приложение CMK платформы Fabric для доступа к Azure Key Vault. Чтобы приложение работало, представитель службы должен быть создан для арендатора. Этот процесс выполняется пользователем с правами идентификатора Microsoft Entra ID, например администратором облачных приложений.

Следуйте инструкциям в статье "Создание корпоративного приложения из мультитенантного приложения в Microsoft Entra ID", чтобы создать основной объект службы для приложения с именем Fabric Platform CMK с идентификатором приложения 61d6811f-7544-4e75-a1e6-1c59c0383311 в арендаторе Microsoft Entra ID.

Шаг 3. Настройка Azure Key Vault

Необходимо настроить Хранилище ключей, чтобы Fabric получил к нему доступ. Этот шаг выполняется пользователем с привилегиями Key Vault, например администратором Key Vault. Дополнительные сведения см. в разделе "Роли безопасности Azure".

  1. Откройте портал Azure и перейдите в Key Vault. Если у вас нет Key Vault, следуйте инструкциям в статье "Создание хранилища ключей" с помощью портала Azure.

  2. В Key Vault настройте следующие параметры:

  3. В вашем Key Vault откройте Управление доступом (IAM).

  4. В раскрывающемся списке «Добавить» выберите «Назначение роли».

  5. Выберите вкладку "Члены" и нажмите кнопку "Выбрать участников".

  6. В панели "Выбор участников" найдите Fabric Platform CMK

  7. Выберите приложение CMK платформы Fabric и затем нажмите Выбор.

  8. Перейдите на вкладку Роль и найдите Пользователь шифрования крипто-сервиса Key Vault или роль, которая включает разрешения на get, wrapKey и unwrapKey.

  9. Выберите пользователя шифрования службы Key Vault Crypto.

  10. Выберите «Рецензирование + Назначить» и затем выберите «Рецензирование + Назначить», чтобы подтвердить выбор.

Шаг 4. Создание ключа Azure Key Vault

Чтобы создать ключ Azure Key Vault, следуйте инструкциям в статье "Создание хранилища ключей" с помощью портала Azure.

Требования к Key Vault

Fabric поддерживает только управляемые клиентом ключи без версии, представленные в https://{vault-name}.vault.azure.net/{key-type}/{key-name} формате. Fabric проверяет хранилище ключей ежедневно в поисках новой версии и использует последнюю доступную версию. Чтобы избежать наличия периода, когда вы не можете получить доступ к данным в рабочей области после создания нового ключа, подождите 24 часа, прежде чем отключить старую версию.

Key Vault и Managed HSM должны иметь как мягкое удаление, так и защиту от очистки, а ключ должен быть типа RSA или RSA-HSM. Поддерживаемые размеры ключей:

  • 2048-разрядный бит
  • 3072-битный
  • 4096 бит

См. сведения о ключах.

Включение шифрования с помощью ключей, управляемых клиентом

После выполнения предварительных требований выполните действия, описанные в этом разделе, чтобы включить управляемые клиентом ключи в рабочей области Fabric.

  1. В рабочей области Fabric выберите параметры рабочей области.

  2. В области параметров рабочей области выберите "Шифрование".

  3. Включите применение ключей, управляемых клиентом.

  4. В поле идентификатора ключа введите идентификатор ключа, управляемый клиентом.

  5. Нажмите кнопку "Применить".

После выполнения этих действий рабочая область шифруется с помощью ключа, управляемого клиентом. Это означает, что существующие и будущие элементы в рабочей области будут зашифрованы ключом, управляемым клиентом, используемым для установки. Вы можете просмотреть состояние шифрования "Активный", "Выполняется" или "Сбой " на вкладке "Шифрование " в параметрах рабочей области. Элементы, для которых выполняется шифрование или происходит сбой, также перечислены по категориям. Ключ должен оставаться активным в Key Vault во время выполнения шифрования (состояние: выполняется). Обновите страницу, чтобы просмотреть последнее состояние шифрования. Если шифрование некоторых элементов в рабочей области не удалось, вы можете повторить попытку, используя другой ключ.

Отзыв доступа

Чтобы отозвать доступ к данным в рабочей области, зашифрованной с помощью ключа, управляемого клиентом, отмените ключ в Azure Key Vault. В течение 60 минут с момента отзыва ключа, вызовы на чтение и запись в рабочую область перестают быть успешными.

Вы можете отозвать ключ шифрования, управляемый клиентом, изменив политику доступа, изменив разрешения в хранилище ключей или удалив ключ.

Чтобы восстановить доступ, восстановите доступ к ключу, управляемому клиентом, в Key Vault.

Отключение шифрования

Чтобы отключить шифрование рабочей области с помощью ключа, управляемого клиентом, перейдите к параметрам рабочей области , чтобы отключить применение ключей, управляемых клиентом. Рабочая область остается зашифрованной с помощью ключей, управляемых Корпорацией Майкрософт.

Вы не можете отключить ключи, управляемые клиентом, пока в рабочей области выполняется шифрование любых элементов Fabric.

Соображения и ограничения

Прежде чем настроить рабочую область Fabric с помощью ключа, управляемого клиентом, рассмотрите следующие ограничения:

  • Управляемые клиентом ключи в настоящее время поддерживаются для следующих элементов Fabric:

    • Лейкхаус
    • Окружающая среда
    • Определение задания Spark
    • API для GraphQL
    • Модель машинного обучения
    • Эксперимент
    • Конвейер данных
    • Поток данных
    • Решения для отрасли

  • Эту функцию нельзя включить для рабочей области, содержащей неподдерживаемые элементы.

  • При включении шифрования ключей, управляемых клиентом для рабочей области Fabric, в этой рабочей области можно создавать только поддерживаемые элементы. Чтобы использовать неподдерживаемые элементы, создайте их в другой рабочей области, которая не включает эту функцию.

  • Перечисленные ниже данные не защищены с помощью ключей, управляемых клиентом:

    • Имена столбцов Lakehouse, формат таблицы, сжатие таблиц, конечная точка SQL. После включения CMK не создается конечная точка SQL для Lakehouse, созданного в данной рабочей области.
    • Все данные, хранящиеся в кластерах Spark (данные, размещенные на временных дисках в процессе перетасовки, утраты или в кэшах RDD в приложении Spark), не защищены. К ним относятся все задания Spark из записных книжек, Lakehouses, определения задания Spark, задания по загрузке и обслуживанию таблиц Lakehouse, сокращенные преобразования, обновление материализованного представления в Fabric.
    • Логи заданий, хранящиеся на сервере истории
    • Библиотеки, присоединенные как часть сред или добавленные в рамках настройки сеанса Spark с помощью волшебных команд, не защищены
    • Метаданные, созданные при создании конвейера данных и задания копирования, например имя базы данных, таблица, схема
    • Метаданные модели машинного обучения и эксперимента, такие как имя модели, версия, метрики

  • CMK поддерживается только во всех общедоступных регионах.

  • CMK поддерживается на всех номерах SKU F. Пробные емкости нельзя использовать для шифрования с помощью CMK. CMK нельзя включать для рабочих областей, в которых включён BYOK, а рабочие области с CMK нельзя перемещать в ресурсы, для которых включён BYOK.

  • CMK можно включить с помощью портала Fabric и не поддерживает API.

  • CMK не поддерживается, если включен параметр брандмауэра Azure Key Vault.

  • CMK можно включить и отключить для рабочей области, пока включен параметр шифрования на уровне клиента. После отключения параметра клиента вы больше не можете включить CMK для рабочих областей в этом клиенте или отключить CMK для рабочих областей, которые уже включили CMK в этом клиенте. Данные в рабочих областях, в которых была включена CMK до того, как была отключена настройка арендатора, останутся зашифрованными управляемым клиентом ключом. Сохраните связанный ключ активным, чтобы иметь возможность распаковывать данные в этой рабочей области.

Связанный контент