Protection des données dans Azure Stream Analytics
Azure Stream Analytics est une plateforme en tant que service entièrement gérée, qui vous permet de générer des pipelines d’analyse en temps réel. Le gros du travail, par exemple, l’approvisionnement du cluster, la mise à l’échelle des nœuds pour prendre en charge votre utilisation et la gestion des points de contrôle internes sont gérés en coulisses.
Ressources de données privées stockées
Azure Stream Analytics conserve les métadonnées et les données suivantes pour exécuter :
Définition des requêtes et leur configuration associée
Fonctions ou agrégats définis par l’utilisateur
Points de contrôle nécessaires au runtime Stream Analytics
Captures instantanées de données de référence
Détails de connexion des ressources utilisées par votre tâche Stream Analytics
Résidence des données dans la région
Azure Stream Analytics stocke les données client et les autres métadonnées décrites ci-dessus. Les données client sont stockées par Azure Stream Analytics dans une seule région par défaut, si bien que ce service répond automatiquement aux exigences en matière de résidence des données de la région, y compris celles spécifiées dans le Centre de gestion de la confidentialité. En outre, vous pouvez choisir de stocker toutes les ressources de données (données client et autres métadonnées) relatives à votre tâche Stream Analytics dans une région unique en les chiffrant dans un compte de stockage de votre choix.
Chiffrer vos données
Stream Analytics utilise automatiquement les normes de chiffrement les plus sophistiquées dans l’ensemble de son infrastructure pour chiffrer et sécuriser vos données. Vous pouvez tout simplement faire confiance à Stream Analytics pour stocker vos données en toute sécurité. Vous n’avez donc pas à vous soucier de la gestion de l’infrastructure.
Si vous souhaitez utiliser des clés gérées par le client pour chiffrer vos données, vous pouvez utiliser votre propre compte de stockage (à usage général v1 ou v2) pour stocker toutes les ressources de données privées requises par le runtime Stream Analytics. Votre compte de stockage peut être chiffré en fonction des besoins. Aucune de vos ressources de données privées n’est stockée de façon permanente par l’infrastructure Stream Analytics.
Vous devez configurer ce paramètre au moment de la création de la tâche Stream Analytics, et ne pouvez pas le modifier pendant le cycle de vie de la tâche. Il n’est pas recommandé de modifier ou supprimer le stockage qu’utilise votre Stream Analytics. Si vous supprimez votre compte de stockage, vous supprimez définitivement toutes les ressources de données privées, ce qui entraînera l’échec de votre tâche.
Une mise à jour ou une rotation de clés sur votre compte de stockage n’est pas possible à l’aide du portail Stream Analytics. Vous pouvez mettre à jour les clés à l’aide des API REST. Vous pouvez également vous connecter à votre compte de stockage de travail à l’aide de l’authentification d’identité managée avec les services approuvés autorisés.
Si le compte de stockage que vous souhaitez utiliser se trouve dans un réseau virtuel Azure, vous devez utiliser le mode d’authentification d’identité managée avec Autoriser les services approuvés. Pour plus d'informations, consultez le site : Connecter les tâches de Stream Analytics aux ressources d'un réseau virtuel Azure (VNet).
Configurer un compte de stockage pour des données privées
Chiffrez votre compte de stockage pour sécuriser toutes vos données et choisissez explicitement l’emplacement de vos données privées.
Utilisez les étapes suivantes pour configurer votre compte de stockage pour des ressources de données privées. Cette configuration s’effectue à partir de votre tâche Stream Analytics, non à partir de votre compte de stockage.
Connectez-vous au portail Azure.
Sélectionnez Créer une ressource dans le coin supérieur gauche du portail Azure.
Dans la liste des résultats, sélectionnez Analytics>Travail Stream Analytics.
Renseignez la page de la tâche Stream Analytics avec les détails nécessaires, tels que le nom, la région et l’échelle.
Activez la case à cocher Sécuriser tous les actifs de données privés nécessaires à ce travail dans mon compte de stockage.
Sélectionnez un compte de stockage dans votre abonnement. Notez qu’il n’est pas possible de modifier ce paramètre pendant le cycle de vie de la tâche. Vous ne pouvez pas non plus ajouter cette option une fois la tâche créée.
Pour vous authentifier avec une chaîne de connexion, sélectionnez Chaîne de connexion dans la liste déroulante Mode d’authentification. La clé du compte de stockage est automatiquement renseignée depuis votre abonnement.
Pour vous authentifier avec une identité managée, sélectionnez Identité managée dans la liste déroulante Mode d’authentification. Si vous choisissez Managed Identity, vous devez ajouter votre travail Stream Analytics à la liste de contrôle d’accès du compte de stockage avec le rôle contributeur de données de stockage BLOB. Si vous n’accordez pas d’accès à votre travail, celui-ci ne pourra effectuer aucune opération. Pour plus d’informations sur l’octroi d’accès, consultez Utiliser Azure RBAC pour attribuer à une identité managée un accès à une autre ressource.
Ressources de données privées stockées par Stream Analytics
Toutes les données privées requises que Stream Analytics doit conserver son stockées dans votre compte de stockage. Voici quelques exemples de ressources de données privées :
Requêtes que vous avez créées et configurations associées
Fonctions définies par l’utilisateur
Points de contrôle nécessaires au runtime Stream Analytics
Captures instantanées de données de référence
Les détails de connexion de vos ressources, que votre tâche Stream Analytics utilise, sont également stockés. Chiffrez votre compte de stockage pour sécuriser toutes vos données.
Active la résidence des données
Vous pouvez utiliser cette fonctionnalité pour appliquer les exigences en matière de résidence des données que vous pouvez avoir en fournissant un compte de stockage en conséquence.