Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Fabric criptografa todos os dados em repouso usando chaves gerenciadas da Microsoft. Com chaves gerenciadas pelo cliente para workspaces do Fabric, você pode usar suas chaves do Azure Key Vault para adicionar outra camada de proteção aos dados em seus workspaces do Microsoft Fabric , incluindo todos os dados no OneLake. Uma chave gerenciada pelo cliente oferece maior flexibilidade, permitindo que você gerencie sua rotação, controle o acesso e a auditoria de uso. Ele também ajuda as organizações a atender às necessidades de governança de dados e a cumprir os padrões de proteção de dados e criptografia.
Como funcionam as chaves gerenciadas pelo cliente
Todos os repositórios de dados do Fabric são criptografados em repouso com chaves gerenciadas pela Microsoft. As chaves gerenciadas pelo cliente utilizam criptografia de envelope, na qual uma Chave de Criptografia de Chave (KEK) criptografa uma Chave de Criptografia de Dados (DEK). Ao usar chaves gerenciadas pelo cliente, o DEK gerenciado pela Microsoft criptografa seus dados e, em seguida, o DEK é criptografado usando o KEK gerenciado pelo cliente. O uso de uma KEK que nunca sai do Key Vault permite que as próprias chaves de criptografia de dados sejam criptografadas e controladas. Isso garante que todo o conteúdo do cliente em um workspace habilitado para CMK seja criptografado usando suas chaves gerenciadas pelo cliente.
Habilitar a criptografia com chaves gerenciadas pelo cliente para seu workspace
Os administradores do workspace podem configurar a criptografia usando o CMK no nível do workspace. Depois que o administrador do workspace habilitar a configuração no portal, todo o conteúdo do cliente armazenado nesse workspace será criptografado usando o CMK especificado. O CMK integra-se às políticas de acesso do AKV e ao RBAC (controle de acesso baseado em função), permitindo que você tenha flexibilidade para definir permissões granulares com base no modelo de segurança da sua organização. Se você optar por desabilitar a criptografia cmk mais tarde, o workspace será revertido para usar chaves gerenciadas pela Microsoft. Você também pode revogar a chave a qualquer momento e o acesso aos dados criptografados será bloqueado dentro de uma hora após a revogação. Com granularidade e controle no nível de espaço de trabalho, você eleva a segurança dos seus dados no Fabric.
Itens com suporte
No momento, há suporte para chaves gerenciadas pelo cliente para os seguintes itens do Fabric:
- Lakehouse
- Armazém
- Notebook
- Ambiente
- Definição de Trabalho do Spark
- API para GraphQL
- Modelo de ML
- Experimento
- Pipeline
- Fluxo de dados
- Soluções para a Indústria
- Banco de Dados SQL (versão prévia)
Esse recurso não pode ser habilitado para um workspace que contém itens sem suporte. Quando a criptografia de chave gerenciada pelo cliente para um workspace do Fabric está habilitada, somente itens com suporte podem ser criados nesse workspace. Para usar itens sem suporte, crie-os em um workspace diferente que não tenha esse recurso habilitado.
Configurar a criptografia com chaves gerenciadas pelo cliente para seu espaço de trabalho
A chave gerenciada pelo cliente para os espaços de trabalho do Fabric requer uma configuração inicial. Essa configuração inclui habilitar a definição de locatário de criptografia do Fabric, configurar o Azure Key Vault e conceder ao aplicativo CMK da Fabric Platform acesso ao Azure Key Vault. Depois que a instalação for concluída, um usuário com uma função de workspace de administrador poderá habilitar o recurso no workspace.
Etapa 1: Ativar a configuração de tenant do Fabric
Um administrador do Fabric precisa garantir que a configuração Aplicar chaves gerenciadas pelo cliente esteja habilitada. Para obter mais informações, consulte o artigo Configuração de Instância de Criptografia.
Etapa 2: Criar um principal de serviço para o aplicativo CMK da Plataforma Fabric
O Fabric usa o aplicativo CMK da Plataforma Fabric para acessar o Azure Key Vault. Para que o aplicativo funcione, uma entidade de serviço deve ser criada para o locatário. Esse processo é executado por um usuário que tem privilégios de ID do Microsoft Entra, como um Administrador de Aplicativos na Nuvem.
Siga as instruções em Criar um aplicativo empresarial de um aplicativo multilocatário no Microsoft Entra ID para criar uma entidade de serviço para um aplicativo chamado Fabric Platform CMK com o ID do aplicativo 61d6811f-7544-4e75-a1e6-1c59c0383311 em seu locatário do Microsoft Entra ID.
Etapa 3: Configurar o Azure Key Vault
Você precisa configurar o Key Vault para que o Fabric possa acessá-lo. Essa etapa é executada por um usuário que tem privilégios do Key Vault, como um Administrador do Key Vault. Para obter mais informações, consulte as funções de Segurança do Azure.
Abra o portal do Azure e navegue até o Key Vault. Se você não tiver o Key Vault, siga as instruções em Criar um cofre de chaves usando o portal do Azure.
Em seu Key Vault, defina as seguintes configurações:
- Soft delete – Ativado
- Proteção contra exclusão – Habilitada
Em seu Key Vault, abra o IAM (controle de acesso).
No menu suspenso Adicionar, selecione Adicionar atribuição de função.
Selecione a guia Membros e clique em Selecionar membros.
No painel de Seleção de membros, pesquise por CMK da Plataforma Fabric
Selecione o aplicativo CMK da Plataforma Fabric e selecione.
Selecione a guia Função e pesquise pelo Usuário de Criptografia do Key Vault ou uma função que permita obter, empacotar chave e desempacotar chave permissões.
Selecione Usuário de Criptografia do Serviço Key Vault.
Selecione Examinar + atribuir e, em seguida, selecione Examinar + atribuir para confirmar sua escolha.
Etapa 4: Criar uma chave do Azure Key Vault
Para criar uma chave do Azure Key Vault, siga as instruções em Criar um cofre de chaves usando o portal do Azure.
Requisitos do Key Vault
O Fabric só dá suporte a chaves gerenciadas pelo cliente sem versão, que são chaves no formato https://{vault-name}.vault.azure.net/{key-type}/{key-name} para Vaults e https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} para HSM Gerenciado. O Fabric verifica o cofre de chaves diariamente para uma nova versão e usa a versão mais recente disponível. Para evitar ter um período em que você não possa acessar dados no workspace após a criação de uma nova chave, aguarde 24 horas antes de desabilitar a versão mais antiga.
O Key Vault e o HSM Gerenciado devem ter a proteção de exclusão temporária e limpeza habilitada e a chave deve ser do tipo RSA ou RSA-HSM. Os tamanhos de chave com suporte são:
- 2.048 bits
- 3.072 bits
- 4.096 bits
Para obter mais informações, confira Sobre chaves.
Observação
Não há suporte para chaves de 4.096 bits para o banco de dados SQL no Microsoft Fabric.
Você também pode usar os Cofres de Chaves do Azure para os quais a configuração de firewall está habilitada. Ao desabilitar o acesso público ao Key Vault, você pode escolher a opção "Permitir que os Serviços Confiáveis da Microsoft ignorem esse firewall".
Etapa 5: Habilitar a criptografia usando chaves gerenciadas pelo cliente
Depois de concluir os pré-requisitos, siga as etapas nesta seção para habilitar chaves gerenciadas pelo cliente em seu workspace do Fabric.
No workspace do Fabric, selecione as configurações do Workspace.
No painel de configurações do Workspace , selecione Criptografia.
Habilitar Aplicar chaves gerenciadas pelo cliente.
No campo Identificador de chave , insira o identificador de chave gerenciado pelo cliente.
Selecione Aplicar.
Depois de concluir essas etapas, seu workspace será criptografado com uma chave gerenciada pelo cliente. Isso significa que todos os dados no Onelake são criptografados e que os itens existentes e futuros no workspace serão criptografados pela chave gerenciada pelo cliente usada para a instalação. Você pode examinar o status de criptografia ativo, em andamento ou com falha na guia Criptografia nas configurações do workspace. Os itens para os quais a criptografia está em andamento ou falha também são listados categoricamente. A chave precisa permanecer ativa no Key Vault enquanto a criptografia está em andamento (Status: Em andamento). Atualize a página para exibir o status de criptografia mais recente. Se a criptografia tiver falhado em alguns itens no workspace, você poderá tentar novamente usando uma chave diferente.
Revogar o acesso
Para revogar o acesso aos dados em um workspace criptografado usando uma chave gerenciada pelo cliente, revogue a chave no Azure Key Vault. Dentro de 60 minutos após a revogação da chave, as chamadas de leitura e gravação para o espaço de trabalho falharão.
É possível revogar a chave de criptografia gerenciada pelo cliente alterando a política de acesso, alterando as permissões no cofre de chaves ou excluindo a chave.
Para restabelecer o acesso, restaure o acesso à chave gerenciada pelo cliente no Key Vault.
Observação
O workspace não revalida automaticamente a chave para o Banco de Dados SQL no Microsoft Fabric. Em vez disso, o usuário deve revalidar manualmente o CMK para restaurar o acesso.
Desabilitar a criptografia
Para desabilitar a criptografia do workspace usando uma chave gerenciada pelo cliente, acesse as configurações do Workspace para desabilitarAplicar chaves gerenciadas pelo cliente. O workspace permanece criptografado usando chaves gerenciadas pela Microsoft.
Observação
Você não pode desabilitar chaves gerenciadas pelo cliente enquanto a criptografia para qualquer um dos itens do Fabric em seu workspace estiver em andamento.
Monitorização
Você pode acompanhar as solicitações de configuração de criptografia para seus workspaces do Fabric por meio de entradas de log de auditoria. Os seguintes nomes de operação são usados em logs de auditoria:
- ApplyWorkspaceEncryption
- DisableWorkspaceEncryption
- GetWorkspaceEncryption
Considerações e limitações
Antes de configurar o workspace do Fabric com uma chave gerenciada pelo cliente, considere as seguintes limitações:
Os dados listados abaixo não estão protegidos com chaves gerenciadas pelo cliente:
- Nomes de coluna Lakehouse, formato de tabela, compactação de tabela.
- Todos os dados armazenados nos Clusters Spark (dados armazenados em discos temporários como parte da distribuição, transbordo de dados ou caches RDD em um aplicativo Spark) não são protegidos. Isso inclui todos os trabalhos Spark de Notebooks, Lakehouses, Definições de Trabalho Spark, Trabalhos de Carga e Manutenção de Tabelas de Lakehouse, Transformações de Atalho e Atualização de Exibição Materializada do Fabric.
- Os logs de tarefas armazenados no servidor histórico
- Bibliotecas anexadas como parte de ambientes ou adicionadas como parte da personalização da sessão do Spark usando comandos mágicos não são protegidas
- Metadados gerados ao criar um Pipeline e uma tarefa de cópia, como nome do BD, tabela, esquema
- Metadados de modelo e experimento de ML, como o nome do modelo, a versão, as métricas
- Consultas de data warehouse no Object Explored e no cache do back-end, que é descarregado após cada uso.
CMK é suportado em todos os SKUs F. As capacidades de avaliação não podem ser usadas para criptografia usando o CMK. O CMK não pode ser ativado para espaços de trabalho com BYOK habilitado, e os espaços de trabalho sob CMK não podem ser movidos para capacidades com BYOK habilitado.
O CMK pode ser habilitado usando o portal do Fabric e não tem suporte à API.
O CMK pode ser habilitado e desabilitado para o espaço de trabalho enquanto a configuração de criptografia no nível do inquilino está ativada. Depois que a configuração do locatário estiver desativada, você não poderá mais habilitar o CMK para os espaços de trabalho nesse locatário ou desabilitar o CMK para os que já têm o CMK ativado nesse locatário. Os dados em workspaces que habilitaram o CMK antes da configuração de locatário ser desativada permanecerão criptografados com a chave gerenciada pelo cliente. Mantenha a chave associada ativa para poder processar dados nesse espaço de trabalho.