Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:✅SQL-databas i Microsoft Fabric
Microsoft Fabric krypterar alla vilande data med hjälp av Microsoft-hanterade nycklar. SQL-databasen lagrar alla data i Azure Storage-fjärrkonton. För att uppfylla kraven för kryptering i vila med hjälp av Microsoft-hanterade nycklar har varje Azure Storage-konto som används av SQL-databasen kryptering på tjänstsidan aktiverat.
Med kundhanterade nycklar för Fabric-arbetsytor kan du använda dina Azure Key Vault-nycklar för att lägga till ytterligare ett skyddslager till data i dina Microsoft Fabric-arbetsytor, inklusive alla data i SQL-databaserna i Microsoft Fabric. En kundhanterad nyckel ger större flexibilitet så att du kan hantera dess rotation, kontrollera åtkomst och granskningsanvändning. Kundhanterade nycklar hjälper också organisationer att uppfylla datastyrningsbehov och uppfylla dataskydds- och krypteringsstandarder.
- När du konfigurerar en kundhanterad nyckel för en arbetsyta i Microsoft Fabric aktiveras transparent datakryptering automatiskt för alla SQL-databaser (och
tempdb) på den arbetsytan med den angivna kundhanterade nyckeln. Den här processen är sömlös och kräver inga manuella åtgärder.- Krypteringsprocessen börjar automatiskt för alla befintliga SQL-databaser, men den är inte omedelbar. Varaktigheten beror på storleken på varje SQL-databas, med större SQL-databaser som kräver mer tid för att slutföra krypteringen.
- När du har konfigurerat den kundhanterade nyckeln krypteras även alla SQL-databaser som du skapar på arbetsytan med hjälp av den kundhanterade nyckeln.
- Om du tar bort den kundhanterade nyckeln startar dekrypteringen för alla SQL-databaser på arbetsytan. Precis som kryptering beror dekryptering också på storleken på SQL-databasen och kan ta tid att slutföra. När dekrypterades återgår SQL-databaserna till att använda Microsoft-hanterade nycklar för kryptering.
Så här fungerar transparent datakryptering i SQL Database i Microsoft Fabric
Transparent datakryptering utför realtidskryptering och dekryptering av databasen, tillhörande säkerhetskopior och transaktionsloggfiler i vila.
- Den här processen sker på sidnivå, vilket innebär att varje sida dekrypteras när den läss in i minnet och krypteras igen innan den skrivs tillbaka till disken.
- Transparent datakryptering skyddar hela databasen med hjälp av en symmetrisk nyckel som kallas databaskrypteringsnyckel (DEK).
- När databasen startar dekrypterar SQL Server-databasmotorn DEK och använder den för att hantera krypterings- och dekrypteringsåtgärder.
- Det transparenta datakrypteringsskyddet , särskilt den kundhanterade nyckeln som konfigurerats på arbetsytans nivå, skyddar DEK.
Säkerhetskopiering och återställning
När en SQL-databas har krypterats med en kundhanterad nyckel krypteras även eventuella nyligen genererade säkerhetskopior med samma nyckel.
När du ändrar nyckeln uppdateras inte gamla säkerhetskopior av SQL-databasen för att använda den senaste nyckeln. Om du vill återställa en säkerhetskopia krypterad med en kundhanterad nyckel kontrollerar du att nyckelmaterialet är tillgängligt i Azure Key Vault. Behåll alla gamla versioner av kundhanterade nycklar i Azure Key Vault så att SQL-databassäkerhetskopior kan återställas.
Återställningsprocessen för SQL-databasen respekterar alltid inställningen för kundhanterad nyckelarbetsyta. I följande tabell beskrivs olika återställningsscenarier baserat på de kundhanterade nyckelinställningarna och om säkerhetskopieringen är krypterad.
| Säkerhetskopian är... | Inställning för kundhanterad nyckelarbetsyta | Krypteringsstatus efter återställning |
|---|---|---|
| Inte krypterad | Disabled | SQL-databasen är inte krypterad |
| Inte krypterad | Enabled | SQL-databasen krypteras med kundhanterad nyckel |
| Krypterad med kundhanterad nyckel | Disabled | SQL-databasen är inte krypterad |
| Krypterad med kundhanterad nyckel | Enabled | SQL-databasen krypteras med kundhanterad nyckel |
| Krypterad med kundhanterad nyckel | Aktiverad men annan kundhanterad nyckel | SQL-databasen krypteras med den nya kundhanterade nyckeln |
Verifiera lyckad kundhanterad nyckel
När du aktiverar kundhanterad nyckelkryptering på arbetsytan krypteras den befintliga databasen. En ny databas på arbetsytan krypteras också när den kundhanterade nyckeln är aktiverad. Kontrollera att databasen har krypterats genom att köra följande T-SQL-fråga:
SELECT DB_NAME(database_id) as DatabaseName, *
FROM sys.dm_database_encryption_keys
WHERE database_id <> 2;
- En databas krypteras om fältet
encryption_state_descvisasENCRYPTEDmedASYMMETRIC_KEYsomencryptor_type. - Om tillståndet är
ENCRYPTION_IN_PROGRESSangerpercent_completekolumnen förloppet för krypteringstillståndsändringen. Det här värdet är0om ingen tillståndsändring pågår. - Om den inte är krypterad visas inte en databas i frågeresultatet för
sys.dm_database_encryption_keys.
Felsöka otillgänglig kundhanterad nyckel
När du konfigurerar en kundhanterad nyckel för en arbetsyta i Microsoft Fabric kräver SQL-databasen kontinuerlig åtkomst till nyckeln för att vara online. Om SQL-databasen förlorar åtkomsten till nyckeln i Azure Key Vault börjar SQL-databasen på upp till 10 minuter neka alla anslutningar och ändrar dess tillstånd till Otillgängligt. Användarna får ett motsvarande felmeddelande, till exempel "Databasen <database ID>.database.fabric.microsoft.com är inte tillgänglig på grund av ett kritiskt Azure Key Vault-fel".
- Om nyckelåtkomsten återställs inom 30 minuter återställs SQL-databasen automatiskt inom en timme.
- Om nyckelåtkomsten återställs efter mer än 30 minuter går det inte att återställa SQL-databasen automatiskt. Återställning av SQL-databasen kräver extra åtgärder och kan ta lång tid beroende på STORLEKEN på SQL-databasen.
Använd följande steg för att verifiera den kundhanterade nyckeln igen:
- Högerklicka på SQL-databasen på arbetsytan eller välj
...snabbmenyn. Välj Inställningar. - Välj Kryptering.
- Om du vill återanvända den kundhanterade nyckeln väljer du Omvalidera kundhanterad nyckel. Om förlängningen lyckas kan det ta lite tid att återställa åtkomsten till SQL-databasen.
Anmärkning
När du förnyar nyckeln för en SQL-databas, återkallas nyckeln automatiskt för alla SQL-databaser på din arbetsyta.
Begränsningar
Aktuella begränsningar när du använder kundhanterad nyckel för en SQL-databas i Microsoft Fabric:
- 4 096-bitarsnycklar stöds inte för SQL-databas i Microsoft Fabric. Nyckellängder som stöds är 2 048 bitar och 3 072 bitar.
- Den kundhanterade nyckeln måste vara en RSA eller RSA-HSM asymmetrisk nyckel.