Chaves gerenciadas pelo cliente para espaços de trabalho do Fabric

O Microsoft Fabric criptografa todos os dados em repouso usando chaves gerenciadas pela Microsoft. Com chaves gerenciadas pelo cliente para Fabric workspaces, você pode usar suas chaves Azure Key Vault para adicionar outra camada de proteção aos dados em seus workspaces Microsoft Fabric , incluindo todos os dados no OneLake. Uma chave gerenciada pelo cliente oferece maior flexibilidade, permitindo que você gerencie sua rotação, controle o acesso e a auditoria de uso. Ele também ajuda as organizações a atender às necessidades de governança de dados e a cumprir os padrões de proteção de dados e criptografia.

Como funcionam as chaves gerenciadas pelo cliente

Todos os armazenamentos de dados Fabric são criptografados em repouso com chaves gerenciadas por Microsoft. As chaves gerenciadas pelo cliente utilizam criptografia de envelope, na qual uma Chave de Criptografia de Chave (KEK) criptografa uma Chave de Criptografia de Dados (DEK). Ao usar chaves gerenciadas pelo cliente, o DEK gerenciado Microsoft criptografa seus dados e, em seguida, o DEK é criptografado usando o KEK gerenciado pelo cliente. O uso de uma KEK que nunca sai do Key Vault permite que as chaves de criptografia de dados sejam criptografadas e controladas de forma eficaz. Isso garante que todo o conteúdo do cliente em um workspace habilitado para CMK seja criptografado usando suas chaves gerenciadas pelo cliente.

Habilitar a criptografia com chaves gerenciadas pelo cliente para seu workspace

Os administradores do workspace podem configurar a criptografia usando o CMK no nível do workspace. Depois que o administrador do workspace habilitar a configuração no portal, todo o conteúdo do cliente armazenado nesse workspace será criptografado usando o CMK especificado. O CMK integra-se às políticas de acesso do AKV e ao RBAC (controle de acesso baseado em função), permitindo que você tenha flexibilidade para definir permissões granulares com base no modelo de segurança da sua organização. Se você optar por desabilitar a criptografia CMK mais tarde, o workspace será revertido para usar chaves gerenciadas por Microsoft. Você também pode revogar a chave a qualquer momento e o acesso aos dados criptografados é bloqueado dentro de uma hora após a revogação. Com granularidade e controle a nível de workspace, você aumenta a segurança dos seus dados no Fabric.

Itens com suporte

No momento, há suporte para chaves gerenciadas pelo cliente para os seguintes itens de Fabric:

• Lakehouse
• Armazém
• Notebook
• Ambiente
• Definição de Trabalho do Spark
• API para GraphQL
• Modelo de ML
• Experimento
• Pipeline
• Fluxo de dados
• Soluções para a Indústria
• Banco de Dados SQL
• Eventhouse (versão prévia)

Esse recurso não pode ser habilitado para um workspace que contém itens sem suporte. Quando a criptografia de chave gerenciada pelo cliente para um workspace Fabric estiver habilitada, somente itens com suporte poderão ser criados nesse workspace. Para usar itens sem suporte, crie-os em um workspace diferente que não tenha esse recurso habilitado.

Configurar a criptografia com chaves gerenciadas pelo cliente para seu espaço de trabalho

A chave gerenciada pelo cliente para Fabric workspaces requer uma configuração inicial. Essa configuração inclui habilitar a definição de criptografia do locatário Fabric, configurar o Azure Key Vault e conceder acesso ao aplicativo CMK da Plataforma Fabric para o Azure Key Vault. Depois que a instalação for concluída, um usuário com uma função de workspace de administrador poderá habilitar o recurso no workspace.

Etapa 1: Habilitar a configuração do cliente Fabric

Um administrador Fabric precisa garantir que a configuração Aplicativo de chaves gerenciadas pelo cliente esteja habilitada. Para obter mais informações, consulte o artigo Configuração de Instância de Criptografia.

Etapa 2: Criar um Service Principal para o aplicativo CMK da Plataforma Fabric

Fabric usa o aplicativo Fabric Platform CMK para acessar sua Azure Key Vault. Para que o aplicativo funcione, uma entidade de serviço deve ser criada para o locatário. Esse processo é executado por um usuário que tem privilégios Microsoft Entra ID, como um administrador de aplicativos Cloud.

Siga as instruções em Criar uma aplicação empresarial de um aplicativo multilocatário no Microsoft Entra ID para criar um principal de serviço para um aplicativo chamado Fabric Platform CMK com o ID do aplicativo 61d6811f-7544-4e75-a1e6-1c59c0383311 em seu locatário Microsoft Entra ID.

Etapa 3: Configurar Azure Key Vault

Você precisa configurar sua Key Vault para que Fabric possa acessá-la. Esta etapa é executada por um usuário que tem privilégios de Key Vault, como um administrador Key Vault. Para obter mais informações, consulte as funções Azure Security.

1. Abra o portal Azure e navegue até o Key Vault. Se você não tiver Key Vault, siga as instruções em Criar um key vault usando o portal Azure.

2. No Key Vault, defina as seguintes configurações:

   • Soft delete – Ativado
   • Proteção contra exclusão – Habilitada

3. Em seu Key Vault, abra Controle de acesso (IAM).

4. No menu suspenso Adicionar, selecione Adicionar atribuição de função.

5. Selecione a guia Membros e clique em Selecionar membros.

6. No painel Selecionar membros, pesquise Fabric Platform CMK

7. Selecione o aplicativo Fabric Platform CMK e, em seguida, Select.

8. Selecione a guia Role e pesquise Key Vault Crypto Service Encryption User ou uma função que permite permissões get, wrapkey e unwrap key.

9. Selecione Key Vault Crypto Service Encryption User.

10. Selecione Examinar + atribuir e, em seguida, selecione Examinar + atribuir para confirmar sua escolha.

Etapa 4: Criar uma chave de Azure Key Vault

Para criar uma chave Azure Key Vault, siga as instruções em Criar um cofre de chaves usando o portal Azure.

requisitos de Key Vault

Fabric só dá suporte a chaves gerenciadas pelo cliente versionless, que são chaves no formato https://{vault-name}.vault.azure.net/{key-type}/{key-name} para Vaults e https://{hsm-name}.managedhsm.azure.net/{key-type}/{key-name} para HSM Gerenciado. Fabric verifica o cofre de chaves diariamente em busca de uma nova versão e usa a versão mais recente disponível. Para evitar ter um período em que você não possa acessar dados no workspace após a criação de uma nova chave, aguarde 24 horas antes de desabilitar a versão mais antiga.

Key Vault e HSM Gerenciado devem ter a exclusão reversível (soft-delete) e a proteção de limpeza habilitadas, e a chave deve ser do tipo RSA ou RSA-HSM. Os tamanhos de chave com suporte são:

• 2.048 bits
• 3.072 bits
• 4.096 bits

Para obter mais informações, confira Sobre chaves.

Você também pode usar Azure Key Vaults para os quais a configuração firewall está habilitada. Ao desabilitar o acesso público ao Key Vault, você pode escolher a opção "Permitir que os Serviços de Microsoft Confiáveis ignorem esse firewall".

Etapa 5: Habilitar a criptografia usando chaves gerenciadas pelo cliente

Depois de concluir os pré-requisitos, siga as etapas nesta seção para habilitar chaves gerenciadas pelo cliente em seu workspace Fabric.

1. No workspace Fabric, selecione Configurações do Workspace.

2. No painel de configurações do Workspace , selecione Criptografia.

3. Habilitar Aplicar chaves gerenciadas pelo cliente.

4. No campo Identificador de chave , insira o identificador de chave gerenciado pelo cliente.

5. Selecione Aplicar.

Depois de concluir essas etapas, seu workspace será criptografado com uma chave gerenciada pelo cliente. Isso significa que todos os dados no OneLake são criptografados e que os itens existentes e futuros no workspace são criptografados pela chave gerenciada pelo cliente usada para a instalação. Você pode examinar o status de criptografia ativo, em andamento ou com falha na guia Criptografia nas configurações do workspace. Os itens para os quais a criptografia está em andamento ou falha também são listados categoricamente. A chave precisa permanecer ativa no Key Vault enquanto a criptografia estiver em andamento (Status: Em andamento). Atualize a página para exibir o status de criptografia mais recente. Se a criptografia tiver falhado em alguns itens no workspace, você poderá tentar novamente usando uma chave diferente.

Revogar o acesso

Para revogar o acesso aos dados em um workspace criptografado usando uma chave gerenciada pelo cliente, revogue a chave no Azure Key Vault. Dentro de 60 minutos após a revogação da chave, as chamadas de leitura e gravação para o espaço de trabalho falharão.

É possível revogar a chave de criptografia gerenciada pelo cliente alterando a política de acesso, alterando as permissões no cofre de chaves ou excluindo a chave.

Para restabelecer o acesso, restaure o acesso à chave gerenciada pelo cliente no Key Vault.

Desabilitar a criptografia

Para desabilitar a criptografia do workspace usando uma chave gerenciada pelo cliente, acesse as configurações do Workspace para desabilitarAplicar chaves gerenciadas pelo cliente. O workspace permanece criptografado usando Microsoft chaves gerenciadas.

Monitorização

Você pode acompanhar as solicitações de configuração de criptografia para seus workspaces de Fabric por meio de entradas de log de auditoria. Os seguintes nomes de operação são usados em logs de auditoria:

• ApplyWorkspaceEncryption
• DisableWorkspaceEncryption
• GetWorkspaceEncryption

Considerações e limitações

Antes de configurar seu workspace Fabric com uma chave gerenciada pelo cliente, considere as seguintes limitações:

• Os seguintes dados não são protegidos com chaves gerenciadas pelo cliente:

  • Nomes de coluna Lakehouse, formato de tabela, compactação de tabela.
  • Todos os dados armazenados nos Clusters Spark (dados armazenados em discos temporários como parte de transbordos de dados ou caches RDD em um aplicativo Spark) não são protegidos. Isso inclui todos os trabalhos Spark de Notebooks, Lakehouses, Definições de Trabalho Spark, trabalhos de Carga e Manutenção de Tabela Lakehouse, Transformações de Atalho, Refresh de Exibição Materializada do Fabric.
  • Os logs de tarefas armazenados no servidor histórico
  • Bibliotecas anexadas como parte de ambientes ou adicionadas como parte da personalização da sessão do Spark usando comandos mágicos não são protegidas
  • Metadados gerados ao criar um Pipeline e uma tarefa de cópia, como nome do BD, tabela, esquema
  • Metadados de modelo e experimento de ML, como o nome do modelo, a versão, as métricas
  • Consultas de data warehouse no Object Explored e no cache do back-end, que é descarregado após cada uso.

• CMK é suportado em todos os SKUs F. As capacidades de avaliação não podem ser usadas para criptografia usando o CMK.

• Você pode ativar o CMK para workspaces hospedados em capacidades BYOK. As mesmas chaves, ou chaves separadas, podem ser usadas para proteger tanto itens em um workspace habilitado para CMK quanto modelos semânticos que residem na capacidade BYOK. (versão prévia)

• O CMK pode ser habilitado usando o portal Fabric e não tem suporte à API.

• O CMK pode ser habilitado e desabilitado para o espaço de trabalho enquanto a configuração de criptografia no nível do inquilino está ativada. Depois que a configuração do locatário estiver desativada, você não poderá mais habilitar o CMK para os espaços de trabalho nesse locatário ou desabilitar o CMK para os que já têm o CMK ativado nesse locatário. Os dados em workspaces que habilitaram o CMK antes da configuração do inquilino ser desativada permanecem criptografados com a chave gerenciada pelo cliente. Mantenha a chave associada ativa para poder processar dados nesse espaço de trabalho.

Conteúdo relacionado

• Fundamentos de segurança

• Microsoft Fabric licenças