Mengenkripsi Azure Data Factory dengan kunci yang dikelola pelanggan

BERLAKU UNTUK:Azure Data Factory Azure Synapse Analytics

Tip

Cobalah Data Factory di Microsoft Fabric, solusi analitik all-in-one untuk perusahaan. Microsoft Fabric mencakup semuanya mulai dari pergerakan data hingga ilmu data, analitik real time, kecerdasan bisnis, dan pelaporan. Pelajari cara memulai uji coba baru secara gratis!

Azure Data Factory mengenkripsi data saat tidak aktif, termasuk definisi entitas dan data apa pun yang di-cache saat proses sedang berlangsung. Secara default, data dienkripsi dengan kunci yang dikelola Microsoft dibuat secara acak dan unik lalu ditetapkan ke pabrik data Anda. Untuk jaminan keamanan ekstra, Anda sekarang dapat mengaktifkan Bring Your Own Key (BYOK) dengan fitur kunci yang dikelola pelanggan di Azure Data Factory. Saat menentukan kunci yang dikelola pelanggan, Data Factory menggunakan kunci sistem pabrik dan CMK untuk mengenkripsi data pelanggan. Hilang keduanya akan mengakibatkan Penolakan Akses ke data dan pabrik.

Azure Key Vault diperlukan untuk menyimpan kunci yang dikelola pelanggan. Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci, atau Anda dapat menggunakan Azure Key Vault API untuk membuat kunci. Brankas kunci dan Data Factory harus berada di penyewa Microsoft Entra yang sama dan di wilayah yang sama, tetapi mungkin berada di langganan yang berbeda. Untuk informasi selengkapnya tentang Azure Key Vault, lihat Apa itu Azure Key Vault?

Tentang kunci yang dikelola pelanggan

Diagram berikut menunjukkan bagaimana Data Factory menggunakan MICROSOFT Entra ID dan Azure Key Vault untuk membuat permintaan menggunakan kunci yang dikelola pelanggan:

Daftar berikut ini menjelaskan langkah-langkah bernomor dalam diagram:

1. Admin Azure Key Vault memberikan izin kunci enkripsi ke identitas terkelola yang terkait dengan Data Factory
2. Admin Data Factory memungkinkan fitur utama yang dikelola pelanggan di pabrik
3. Data Factory menggunakan identitas terkelola yang terkait dengan pabrik untuk mengautentikasi akses ke Azure Key Vault melalui ID Microsoft Entra
4. Data Factory membungkus kunci enkripsi pabrik dengan kunci pelanggan di Azure Key Vault
5. Untuk operasi baca/tulis,Data Factory mengirimkan permintaan ke Azure Key Vault untuk membongkar kunci enkripsi akun demi melakukan operasi enkripsi dan dekripsi

Ada dua cara untuk menambahkan enkripsi Kunci yang Dikelola Pelanggan ke pabrik data. Salah satunya adalah selama waktu pembuatan pabrik di portal Microsoft Azure, dan yang lainnya adalah pembuatan pabrik pos, di antarmuka pengguna Data Factory.

Prasyarat - mengkonfigurasi Azure Key Vault dan membuat kunci

Aktifkan Penghapusan Sementara dan Jangan Dihapuskan Menyeluruh di Azure Key Vault

Menggunakan kunci yang dikelola pelanggan dengan Data Factory memerlukan dua properti untuk diatur pada Key Vault, Penghapusan Sementara dan Jangan Dihapus Menyeluruh. Properti ini dapat diaktifkan menggunakan PowerShell atau Azure CLI pada brankas kunci baru atau yang sudah ada. Untuk mempelajari cara mengaktifkan properti ini pada brankas kunci yang ada, lihat Manajemen pemulihan Azure Key Vault dengan penghapusan sementara dan perlindungan penghapusan menyeluruh

Jika Anda membuat Azure Key Vault baru melalui portal Microsoft Azure, PenghapusanSementara dan Jangan Dihapus Menyeluruh dapat diaktifkan sebagai berikut:

Memberikan akses Data Factory ke Azure Key Vault

Pastikan Azure Key Vault dan Azure Data Factory berada di penyewa Microsoft Entra yang sama dan di wilayah yang sama. Dari kontrol akses Azure Key Vault, beri pabrik data izin berikut: Dapatkan, Buka Bungkus Kunci, dan Bungkus Kunci. Izin ini diperlukan untuk mengaktifkan kunci yang dikelola pelanggan di Data Factory.

• Jika ingin menambahkan enkripsi kunci yang dikelola pelanggan setelah pembuatan pabrik di antarmuka pengguna Data Factory, pastikan identitas layanan terkelola (MSI) data pabrik memiliki tiga izin ke Key Vault

• Jika ingin menambahkan enkripsi kunci yang dikelola pelanggan selama waktu pembuatan pabrik di portal Microsoft Azure, pastikan identitas terkelola yang ditetapkan pengguna (agen pengguna-MI) memiliki tiga izin ke Key Vault

  

Buat atau unggah kunci yang dikelola pelanggan ke Azure Key Vault

Anda dapat membuat kunci Anda sendiri dan menyimpannya di brankas kunci. Atau Anda dapat menggunakan Azure Key Vault API untuk membuat kunci. Hanya kunci RSA yang didukung dengan enkripsi Data Factory. RSA-HSM juga didukung. Untuk informasi selengkapnya, lihat Tentang kunci, rahasia, dan sertifikat.

Aktifkan kunci yang dikelola pelanggan

Pasca pembuatan pabrik di antarmuka pengguna Data Factory

Bagian ini menjelaskan proses untuk menambahkan enkripsi kunci yang dikelola pelanggan di antarmuka pengguna Data Factory, setelah pabrik dibuat.

Catatan

Kunci yang dikelola pelanggan hanya dapat dikonfigurasi pada pabrik data kosong. Pabrik data tidak boleh berisi sumber daya apa pun seperti layanan tertaut, alur, dan aliran data. Disarankan untuk mengaktifkan kunci yang dikelola pelanggan tepat setelah pembuatan pabrik.

Penting

Pendekatan ini tidak bekerja dengan pabrik yang diaktifkan jaringan virtual terkelola. Harap pertimbangkan rute alternatif, jika Anda ingin mengenkripsi pabrik tersebut.

1. Pastikan bahwa pabrik data dari Identitas Layanan Terkelola (MSI) memiliki izin Dapatkan, Buka Kunci dan Bungkus Kunci ke Key Vault.

2. Pastikan Data Factory kosong. Pabrik data tidak boleh berisi sumber daya apa pun seperti layanan tertaut, alur, dan aliran data. Untuk saat ini, menyebarkan kunci yang dikelola pelanggan ke pabrik yang tidak kosong akan mengakibatkan kesalahan.

3. Untuk menemukan URI kunci di portal Microsoft Azure, navigasikan ke Azure Key Vault, dan pilih pengaturan Kunci. Pilih tombol yang diinginkan, lalu pilih tombol untuk melihat versinya. Pilih versi kunci untuk melihat pengaturan untuk versi tersebut

4. Salin nilai bidang Pengidentifikasi Kunci, yang menyediakan URI

5. Luncurkan portal Azure Data Factory, dan gunakan bilah navigasi di sebelah kiri, lompat ke Portal Manajemen Data Factory

6. Klik ikon Kunci yang dikelola pelanggan

7. Masukkan URI untuk kunci yang dikelola pelanggan yang Anda salin sebelumnya

8. Klik Simpan dan enkripsi kunci yang dikelola pelanggan diaktifkan untuk Data Factory

Selama pembuatan pabrik di portal Microsoft Azure

Bagian ini menjelaskan langkah-langkah untuk menambahkan enkripsi kunci yang dikelola pelanggan di portal Microsoft Azure, selama penyebaran pabrik.

Untuk mengenkripsi pabrik, Pabrik Data perlu terlebih dahulu mengambil kunci yang dikelola pelanggan dari Key Vault. Karena penyebaran pabrik masih berlangsung, Identitas Layanan Terkelola (MSI) belum tersedia untuk diautentikasi dengan Key Vault. Dengan demikian, untuk menggunakan pendekatan ini, pelanggan perlu menetapkan identitas terkelola yang ditetapkan pengguna (agen pengguna-MI) ke pabrik data. Kami akan mengambil peran yang ditentukan dalam UA-MI dan mengautentikasi dengan Key Vault.

Untuk mempelajari selengkapnya tentang identitas terkelola yang ditetapkan pengguna, lihat Jenis identitas terkelola dan Penetapan peran untuk identitas terkelola yang ditetapkan pengguna.

1. Pastikan bahwa Identitas Terkelola yang Ditetapkan Pengguna (agen pengguna-MI) memiliki Izin Dapatkan, Buka Kunci dan Bungkus Kunci ke Key Vault

2. Di bawah tab Tingkat Lanjut , centang kotak untuk Aktifkan enkripsi menggunakan kunci yang dikelola pelanggan

3. Berikan url untuk kunci yang dikelola pelanggan yang disimpan di Key Vault

4. Pilih pengguna yang sesuai berdasarkan identitas terkelola yang ditetapkan pengguna untuk mengautentikasi dengan Key Vault

5. Lanjutkan dengan penyebaran pabrik

Perbarui Versi Kunci

Saat membuat kunci veris baru, perbarui pabrik data untuk menggunakan versi baru. Ikuti langkah serupa seperti yang dijelaskan di bagian Antarmuka Pengguna Data Factory, termasuk:

1. Temukan URI untuk kunci versi baru melalui Azure Key Vault Portal

2. Menavigasi ke pengaturan kunci yang dikelola pelanggan

3. Ganti dan tempel di URI untuk kunci baru

4. KlikSimpandan Data Factory sekarang akan mengenkripsi dengan kunci versi baru

Gunakan nama kunci yang berbeda

Untuk mengubah kunci yang digunakan untuk enkripsi Data Factory, Anda harus memperbarui pengaturan secara manual di Data Factory. Ikuti langkah serupa seperti yang dijelaskan di bagian Antarmuka Pengguna Data Factory, termasuk:

1. Temukan URI untuk kunci versi baru melalui Portal Azure Key Vault

2. Buka pengaturan kunci yang dikelola pelanggan

3. Ganti dan tempel di URI untuk kunci baru

4. KlikSimpandan Data Factory sekarang akan mengenkripsi dengan kunci versi baru

Nonaktifkan kunci yang dikelola pelanggan

Secara desain, setelah fitur kunci yang dikelola pelanggan diaktifkan, Anda tidak dapat menghapus langkah keamanan tambahan. Kami akan selalu mengharapkan kunci yang disediakan pelanggan untuk mengenkripsi pabrik dan data.

Kunci yang dikelola pelanggan dan integrasi berkelanjutan dan penyebaran berkelanjutan

Secara default, konfigurasi CMK tidak disertakan dalam templat pabrik Azure Resource Manager (ARM). Untuk menyertakan pengaturan enkripsi kunci yang dikelola pelanggan dalam templat ARM untuk integrasi berkelanjutan (CI/CD):

1. Pastikan pabrik dalam mode Git
2. Menavigasi ke portal manajemen - bagian kunci yang dikelola pelanggan
3. Centang Opsi Sertakan dalam templat ARM

Pengaturan berikut akan ditambahkan dalam templat ARM. Properti ini dapat dijadikan parameter dalam alur Integrasi dan Pengiriman Berkelanjutan dengan mengedit konfigurasi parameter Azure Resource Manager

Catatan

Menambahkan pengaturan enkripsi ke templat ARM menambahkan pengaturan tingkat pabrik yang akan menimpa pengaturan tingkat pabrik lainnya, seperti konfigurasi git, di lingkungan lain. Jika pengaturan ini diaktifkan di lingkungan yang ditinggikan seperti UAT atau PROD, silakan lihat Parameter Global di CI /CD.

Konten terkait

Ikuti tutorial untuk mempelajari tentang penggunaan Data Factory dalam skenario lainnya.