Šifrování služby Azure Data Factory pomocí klíčů spravovaných zákazníkem

PLATÍ PRO: Azure Data Factory Azure Synapse Analytics

Tip

Vyzkoušejte si službu Data Factory v Microsoft Fabric, řešení pro analýzy typu all-in-one pro podniky. Microsoft Fabric zahrnuje všechno od přesunu dat až po datové vědy, analýzy v reálném čase, business intelligence a vytváření sestav. Přečtěte si, jak začít používat novou zkušební verzi zdarma.

Ve službě Azure Data Factory se šifrují neaktivní uložená data, včetně definic entit a všech dat zapsaných do mezipaměti během probíhajících spuštění. Ve výchozím nastavení se data šifrují náhodně vygenerovaným klíčem spravovaným Microsoftem, který je jednoznačně přiřazený k vaší datové továrně. Pro dodatečné záruky zabezpečení teď můžete povolit funkci Přineste si vlastní klíč (BYOK) pomocí funkce klíčů spravovaných zákazníkem ve službě Azure Data Factory. Když zadáte klíč spravovaný zákazníkem, služba Data Factory k šifrování zákaznických dat používá systémový klíč továrny i klíč CMK. Pokud některý z těchto klíčů chybí, bude odepřen přístup k datům a továrně.

K ukládání klíčů spravovaných zákazníkem je nutné mít Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete použít rozhraní API služby Azure Key Vault ke generování klíčů. Trezor klíčů a služba Data Factory musí být ve stejném tenantovi Microsoft Entra a ve stejné oblasti, ale můžou být v různých předplatných. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?

Informace o klíčích spravovaných zákazníkem

Následující diagram znázorňuje, jak Služba Data Factory používá k vytváření žádostí pomocí klíče spravovaného zákazníkem Microsoft Entra ID a Azure Key Vault:

Následující seznam vysvětluje očíslované kroky v diagramu:

1. Správce služby Azure Key Vault uděluje oprávnění šifrovacím klíčům spravované identitě přidružené ke službě Data Factory.
2. Správce služby Data Factory umožňuje funkci klíče spravovaného zákazníkem v továrně.
3. Služba Data Factory používá spravovanou identitu přidruženou k továrně k ověření přístupu ke službě Azure Key Vault přes Microsoft Entra ID.
4. Služba Data Factory zabalí šifrovací klíč továrny s klíčem zákazníka ve službě Azure Key Vault.
5. V případě operací čtení a zápisu služba Data Factory odesílá požadavky do služby Azure Key Vault, aby rozbalila šifrovací klíč účtu za účelem provádění operací šifrování a dešifrování.

Existují dva způsoby přidání šifrování klíče spravovaného zákazníkem do datových továren. Jedna je během vytváření továrny na webu Azure Portal a druhá je po vytvoření v uživatelském rozhraní služby Data Factory.

Požadavky – konfigurace služby Azure Key Vault a generování klíčů

Povolení obnovitelného odstranění a nevyprázdnění ve službě Azure Key Vault

Použití klíčů spravovaných zákazníkem se službou Data Factory vyžaduje nastavení dvou vlastností ve službě Key Vault, obnovitelné odstranění a nevyprázdnění. Tyto vlastnosti je možné povolit pomocí PowerShellu nebo Azure CLI v novém nebo existujícím trezoru klíčů. Informace o povolení těchto vlastností ve stávajícím trezoru klíčů najdete v tématu Správa obnovení služby Azure Key Vault s využitím obnovitelného odstranění a ochrany před vymazáním.

Pokud vytváříte novou službu Azure Key Vault prostřednictvím webu Azure Portal, je možné povolit obnovitelné odstranění a nevyprázdnění následujícím způsobem:

Udělení přístupu ke službě Data Factory ke službě Azure Key Vault

Ujistěte se, že jsou služba Azure Key Vault a Azure Data Factory ve stejném tenantovi Microsoft Entra a ve stejné oblasti. Z řízení přístupu ke službě Azure Key Vault udělte datové továrně následující oprávnění: Získat, Rozbalit klíč a Zalamovat klíč. Tato oprávnění jsou nutná k povolení klíčů spravovaných zákazníkem ve službě Data Factory.

• Pokud chcete po vytvoření v uživatelském rozhraní služby Data Factory přidat šifrování klíčů spravovaných zákazníkem, ujistěte se, že identita spravované služby (MSI) datové továrny má tři oprávnění ke službě Key Vault.

• Pokud chcete přidat šifrování klíčů spravovaných zákazníkem během vytváření továrny na webu Azure Portal, ujistěte se, že spravovaná identita přiřazená uživatelem (UA-MI) má tři oprávnění ke službě Key Vault.

  

Generování nebo nahrání klíče spravovaného zákazníkem do služby Azure Key Vault

Můžete si buď vytvořit vlastní klíče a uložit je do trezoru klíčů. K vygenerování klíčů můžete také použít rozhraní API služby Azure Key Vault. Šifrování služby Data Factory podporuje pouze klíče RSA. Podporuje se také RSA-HSM. Další informace najdete v tématu O klíčích, tajných klíčích a certifikátech.

Povolení klíčů spravovaných zákazníkem

Vytvoření post factory v uživatelském rozhraní služby Data Factory

Tato část vás provede procesem přidání šifrování klíče spravovaného zákazníkem v uživatelském rozhraní služby Data Factory po vytvoření objektu pro vytváření.

Poznámka:

Klíč spravovaný zákazníkem je možné nakonfigurovat pouze v prázdné datové továrně. Datová továrna nemůže obsahovat žádné prostředky, jako jsou propojené služby, kanály a toky dat. Doporučujeme povolit klíč spravovaný zákazníkem hned po vytvoření továrny.

Důležité

Tento přístup nefunguje se spravovanými továrnami s povolenou virtuální sítí. Pokud chcete takové továrny šifrovat, zvažte alternativní trasu.

1. Ujistěte se, že identita spravované služby (MSI) datové továrny má oprávnění Get, Unwrap Key a Wrap Key pro Key Vault.

2. Ujistěte se, že data Factory je prázdná. Datová továrna nemůže obsahovat žádné prostředky, jako jsou propojené služby, kanály a toky dat. Prozatím nasazení klíče spravovaného zákazníkem do neprázdné továrny způsobí chybu.

3. Pokud chcete najít identifikátor URI klíče na webu Azure Portal, přejděte do služby Azure Key Vault a vyberte nastavení Klíče. Vyberte požadovaný klíč a pak ho vyberte a zobrazte jeho verze. Výběrem verze klíče zobrazíte nastavení.

4. Zkopírujte hodnotu pole Identifikátor klíče, které poskytuje identifikátor URI.

5. Spusťte portál Azure Data Factory a pomocí navigačního panelu vlevo přejděte na Portál pro správu služby Data Factory.

6. Klikněte na ikonu klíče spravovaného zákazníkem.

7. Zadejte identifikátor URI klíče spravovaného zákazníkem, který jste zkopírovali dříve.

8. Klikněte na Uložit a šifrování klíče spravovaného zákazníkem je pro službu Data Factory povolené.

Během vytváření továrny na webu Azure Portal

Tato část vás provede postupem přidání šifrování klíčů spravovaných zákazníkem na webu Azure Portal během nasazení továrny.

Aby služba Data Factory šifruje objekt pro vytváření, musí nejprve načíst klíč spravovaný zákazníkem ze služby Key Vault. Vzhledem k tomu, že nasazení továrny stále probíhá, není identita spravované služby (MSI) ještě k dispozici pro ověření ve službě Key Vault. Aby mohli tento přístup použít, musí zákazník přiřadit spravovanou identitu přiřazenou uživatelem (UA-MI) k datové továrně. Budeme předpokládat, že role definované v UA-MI a ověříme se ve službě Key Vault.

Další informace o spravované identitě přiřazené uživatelem najdete v tématu Typy spravovaných identit a přiřazení role pro spravovanou identitu přiřazenou uživatelem.

1. Ujistěte se, že spravovaná identita přiřazená uživatelem (UA-MI) má oprávnění Get, Unwrap Key a Wrap Key ve službě Key Vault.

2. Na kartě Upřesnit zaškrtněte políčko Povolit šifrování pomocí klíče spravovaného zákazníkem.

3. Zadejte adresu URL klíče spravovaného zákazníkem uloženým ve službě Key Vault.

4. Vyberte příslušnou spravovanou identitu přiřazenou uživatelem, která se má ověřit ve službě Key Vault.

5. Pokračovat v nasazení továrny

Aktualizace verze klíče

Když vytvoříte novou verzi klíče, aktualizujte datovou továrnu tak, aby používala novou verzi. Postupujte podobně, jak je popsáno v části Uživatelské rozhraní služby Data Factory, včetně následujících:

1. Vyhledání identifikátoru URI pro novou verzi klíče prostřednictvím portálu služby Azure Key Vault

2. Přejděte do nastavení klíče spravovaného zákazníkem.

3. Nahrazení a vložení do identifikátoru URI pro nový klíč

4. Click Save and Data Factory will now encrypt with the new key version

Použití jiného klíče

Pokud chcete změnit klíč použitý pro šifrování služby Data Factory, musíte nastavení ve službě Data Factory aktualizovat ručně. Postupujte podobně, jak je popsáno v části Uživatelské rozhraní služby Data Factory, včetně následujících:

1. Vyhledání identifikátoru URI pro nový klíč prostřednictvím portálu služby Azure Key Vault

2. Přejděte do nastavení klíče spravovaného zákazníkem.

3. Nahrazení a vložení do identifikátoru URI pro nový klíč

4. Klikněte na Uložit a Služba Data Factory se teď pomocí nového klíče zašifruje.

Zakázání klíčů spravovaných zákazníkem

Jakmile je funkce klíče spravovaná zákazníkem povolená, není možné odebrat další krok zabezpečení. Vždy očekáváme, že klíč poskytnutý zákazníkem zašifruje objekt pro vytváření a data.

Klíč spravovaný zákazníkem a kontinuální integrace a průběžné nasazování

Ve výchozím nastavení není konfigurace CMK součástí šablony Azure Resource Manageru (ARM). Zahrnutí nastavení šifrování klíče spravovaného zákazníkem do šablony ARM pro kontinuální integraci (CI/CD):

1. Ujistěte se, že je továrna v režimu Git.
2. Přejděte na portál pro správu – oddíl klíče spravovaný zákazníkem
3. Možnost Zahrnout do šablony ARM

V šabloně ARM se přidají následující nastavení. Tyto vlastnosti je možné parametrizovat v kanálech kontinuální integrace a doručování úpravou konfigurace parametrů Azure Resource Manageru .

Poznámka:

Přidání nastavení šifrování do šablon ARM přidá nastavení na úrovni továrny, které přepíše další nastavení na úrovni továrny, jako jsou konfigurace Gitu, v jiných prostředích. Pokud máte tato nastavení povolená v prostředí se zvýšenými oprávněními, jako je UAT nebo PROD, projděte si globální parametry v CI/CD.

Související obsah

Projděte si kurzy, kde se dozvíte o použití služby Data Factory ve více scénářích.