Ochrona danych w usłudze Azure Stream Analytics

Azure Stream Analytics to w pełni zarządzana platforma jako usługa, która umożliwia tworzenie potoków analizy w czasie rzeczywistym. Wszystkie duże obciążenia, takie jak aprowizowanie klastrów, skalowanie węzłów w celu uwzględnienia użycia i zarządzanie wewnętrznymi punktami kontrolnymi, są zarządzane w tle.

Zasoby prywatnych danych, które są przechowywane

Usługa Azure Stream Analytics utrwala następujące metadane i dane w celu uruchomienia:

• Definicja zapytania i ich powiązana konfiguracja

• Funkcje zdefiniowane przez użytkownika lub agregacje

• Punkty kontrolne wymagane przez środowisko uruchomieniowe usługi Stream Analytics

• Migawki danych referencyjnych

• Szczegóły połączenia zasobów używanych przez zadanie usługi Stream Analytics

Miejsce przechowywania danych w regionie

Usługa Azure Stream Analytics przechowuje dane klienta i inne opisane wcześniej metadane. Usługa Azure Stream Analytics domyślnie przechowuje dane klientów w jednym regionie, więc ta usługa automatycznie spełnia wymagania dotyczące przechowywania danych w regionie, w tym te określone w Centrum zaufania. Ponadto możesz przechowywać wszystkie zasoby danych (dane klienta i inne metadane) związane z zadaniem usługi Stream Analytics w jednym regionie, szyfrując je na wybranym koncie magazynu.

Szyfrowanie danych

Usługa Stream Analytics automatycznie stosuje najlepsze w swojej infrastruktury standardy szyfrowania, aby szyfrować i zabezpieczać dane. Możesz zaufać usłudze Stream Analytics, aby bezpiecznie przechowywać wszystkie dane, aby nie trzeba było martwić się o zarządzanie infrastrukturą.

Jeśli chcesz użyć kluczy zarządzanych przez klienta do szyfrowania danych, możesz użyć własnego konta magazynu (ogólnego przeznaczenia w wersji 1 lub 2) do przechowywania dowolnych zasobów danych prywatnych wymaganych przez środowisko uruchomieniowe usługi Stream Analytics. Konto magazynu można zaszyfrować zgodnie z potrzebami. Żadna z prywatnych zasobów danych nie jest przechowywana trwale przez infrastrukturę usługi Stream Analytics.

To ustawienie musi być skonfigurowane w momencie tworzenia zadania usługi Stream Analytics i nie można go modyfikować w całym cyklu życia zadania. Nie zaleca się modyfikowania ani usuwania magazynu używanego przez usługę Stream Analytics. Jeśli usuniesz konto magazynu, trwale usuniesz wszystkie zasoby danych prywatnych i spowoduje to niepowodzenie zadania.

Aktualizowanie lub rotacja kluczy na koncie magazynu nie jest możliwe przy użyciu portalu usługi Stream Analytics. Klucze można zaktualizować przy użyciu interfejsów API REST. Możesz również nawiązać połączenie z kontem magazynu zadań przy użyciu uwierzytelniania tożsamości zarządzanej z dozwolonymi usługami zaufanymi.

Jeśli konto magazynu, którego chcesz użyć, znajduje się w usłudze Azure Virtual Network, musisz użyć trybu uwierzytelniania tożsamości zarządzanej z ustawieniem Zezwalaj na zaufane usługi. Aby uzyskać więcej informacji, odwiedź stronę: Łączenie zadań usługi Stream Analytics z zasobami w sieci wirtualnej platformy Azure.

Konfigurowanie konta magazynu dla danych prywatnych

Zaszyfruj konto magazynu, aby zabezpieczyć wszystkie dane i jawnie wybrać lokalizację danych prywatnych.

Wykonaj poniższe kroki, aby skonfigurować konto magazynu dla zasobów prywatnych danych. Ta konfiguracja jest dokonana z zadania usługi Stream Analytics, a nie z konta magazynu.

1. Zaloguj się w witrynie Azure Portal.

2. W lewym górnym rogu witryny Azure Portal wybierz pozycję Utwórz zasób.

3. Wybierz pozycję Zadanie usługi>Stream Analytics z listy wyników.

4. Wypełnij stronę zadania usługi Stream Analytics, podając niezbędne szczegóły, takie jak nazwa, region i skala.

5. Zaznacz pole wyboru z komunikatem Zabezpieczanie wszystkich zasobów danych prywatnych wymaganych przez to zadanie na moim koncie usługi Storage.

6. Wybierz konto magazynu z subskrypcji. Tego ustawienia nie można modyfikować przez cały cykl życia zadania. Nie można również dodać tej opcji po utworzeniu zadania.

7. Aby uwierzytelnić się przy użyciu parametry połączenia, wybierz pozycję Parametry połączenia z listy rozwijanej Tryb uwierzytelniania. Klucz konta magazynu jest automatycznie wypełniany z subskrypcji.

   

8. Aby uwierzytelnić się przy użyciu tożsamości zarządzanej, wybierz pozycję Tożsamość zarządzana z listy rozwijanej Tryb uwierzytelniania. Jeśli wybierzesz pozycję Tożsamość zarządzana, musisz dodać zadanie usługi Stream Analytics do listy kontroli dostępu konta magazynu z rolą Współautor danych obiektu blob usługi Storage. Jeśli nie udzielisz dostępu do zadania, zadanie nie może wykonać żadnych operacji. Aby uzyskać więcej informacji na temat udzielania dostępu, zobacz Przypisywanie roli platformy Azure w celu uzyskania dostępu do danych obiektów blob.

   

Zasoby prywatnych danych przechowywane przez usługę Stream Analytics

Wszystkie dane prywatne wymagane do utrwalania przez usługę Stream Analytics są przechowywane na koncie magazynu. Przykłady zasobów prywatnych danych to:

• Zapytania utworzone i powiązane z nimi konfiguracje

• Funkcje zdefiniowane przez użytkownika

• Punkty kontrolne wymagane przez środowisko uruchomieniowe usługi Stream Analytics

• Migawki danych referencyjnych

Szczegóły połączenia zasobów, które są używane przez zadanie usługi Stream Analytics, również są przechowywane. Zaszyfruj konto magazynu, aby zabezpieczyć wszystkie dane.

Włącza miejsce przechowywania danych

Za pomocą tej funkcji można wymusić wszelkie wymagania dotyczące rezydencji danych, podając odpowiednio konto magazynu.

Następne kroki

• Tworzenie konta usługi Azure Storage
• Omówienie danych wejściowych dla usługi Azure Stream Analytics
• Pojęcia dotyczące punktów kontrolnych i odtwarzania w zadaniach usługi Azure Stream Analytics
• Używanie danych referencyjnych do wyszukiwania w usłudze Stream Analytics