Protezione dei dati in analisi di flusso di AzureData protection in Azure Stream Analytics

Analisi di flusso di Azure è una piattaforma distribuita come servizio completamente gestita che consente di compilare pipeline di analisi in tempo reale.Azure Stream Analytics is a fully managed platform-as-a-service that allows you to build real-time analytics pipelines. Tutto il lavoro pesante, ad esempio il provisioning del cluster, il ridimensionamento dei nodi per adattarlo all'utilizzo e la gestione dei checkpoint interni, viene gestito in background.All of the heavy lifting, such as cluster provisioning, scaling nodes to accommodate your usage, and managing internal checkpoints, is managed behind the scenes.

Asset di dati privati archiviatiPrivate data assets that are stored

Analisi di flusso di Azure rende permanente i metadati e i dati seguenti per l'esecuzione:Azure Stream Analytics persists the following metadata and data in order to run:

  • Definizione della query e configurazione correlataQuery definition and their related configuration

  • Funzioni o aggregazioni definite dall'utenteUser-defined functions or aggregates

  • Checkpoint necessari per il runtime di analisi di flussoCheckpoints needed by the Stream Analytics runtime

  • Snapshot dei dati di riferimentoSnapshots of reference data

  • Dettagli della connessione delle risorse usate dal processo di analisi di flussoConnection details of the resources used by your Stream Analytics job

Per soddisfare gli obblighi di conformità in qualsiasi settore o ambiente regolamentato, è possibile leggere altre informazioni sulle offerte di conformità di Microsoft.To help you meet your compliance obligations in any regulated industry or environment, you can read more about Microsoft's compliance offerings.

In-Region residenza dei datiIn-Region Data Residency

Analisi di flusso di Azure archivia i dati dei clienti e altri metadati descritti in precedenza.Azure Stream Analytics stores customer data and other metadata described above. Per impostazione predefinita, i dati dei clienti vengono archiviati da analisi di flusso di Azure in una singola area, in modo che questo servizio soddisfi automaticamente i requisiti di residenza dei dati dell'area, inclusi quelli specificati nel Centro protezione.Customer data is stored by Azure Stream Analytics in a single region by default, so this service automatically satisfies in region data residency requirements including those specified in the Trust Center. Inoltre, è possibile scegliere di archiviare tutti gli asset di dati (dati del cliente e altri metadati) correlati al processo di analisi di flusso in un'unica area crittografando i dati in un account di archiviazione di propria scelta.Additionally, you can choose to store all data assets (customer data and other metadata) related to your stream analytics job in a single region by encrypting them in a storage account of your choice.

Crittografare i datiEncrypt your data

Analisi di flusso usa automaticamente gli standard di crittografia migliori all'interno dell'infrastruttura per crittografare e proteggere i dati.Stream Analytics automatically employs best-in-class encryption standards across its infrastructure to encrypt and secure your data. È possibile considerare semplicemente attendibile analisi di flusso per archiviare in modo sicuro tutti i dati, in modo da non dover preoccuparsi di gestire l'infrastruttura.You can simply trust Stream Analytics to securely store all your data so that you don't have to worry about managing the infrastructure.

Se si vuole usare chiavi gestite dal cliente per crittografare i dati, è possibile usare il proprio account di archiviazione (utilizzo generico V1 o V2) per archiviare gli asset di dati privati richiesti dal runtime di analisi di flusso.If you want to use customer-managed keys to encrypt your data, you can use your own storage account (general purpose V1 or V2) to store any private data assets that are required by the Stream Analytics runtime. L'account di archiviazione può essere crittografato in base alle esigenze.Your storage account can be encrypted as needed. Nessuno degli asset di dati privati viene archiviato in modo permanente dall'infrastruttura di analisi di flusso.None of your private data assets are stored permanently by the Stream Analytics infrastructure.

Questa impostazione deve essere configurata al momento della creazione del processo di analisi di flusso e non può essere modificata nel corso del ciclo di vita del processo.This setting must be configured at the time of Stream Analytics job creation, and it can't be modified throughout the job's life cycle. La modifica o l'eliminazione dello spazio di archiviazione usato dall'analisi di flusso non è consigliata.Modification or deletion of storage that is being used by your Stream Analytics is not recommended. Se si elimina l'account di archiviazione, verranno eliminati definitivamente tutti gli asset di dati privati, causando un errore nel processo.If you delete your storage account, you will permanently delete all private data assets, which will cause your job to fail.

Non è possibile aggiornare o ruotare le chiavi nell'account di archiviazione usando il portale di analisi di flusso.Updating or rotating keys to your storage account is not possible using the Stream Analytics portal. È possibile aggiornare le chiavi usando le API REST.You can update the keys using the REST APIs.

Configurare l'account di archiviazione per i dati privatiConfigure storage account for private data

Crittografare l'account di archiviazione per proteggere tutti i dati e scegliere in modo esplicito il percorso dei dati privati.Encrypt your storage account to secure all of your data and explicitly choose the location of your private data.

Per soddisfare gli obblighi di conformità in qualsiasi settore o ambiente regolamentato, è possibile leggere altre informazioni sulle offerte di conformità di Microsoft.To help you meet your compliance obligations in any regulated industry or environment, you can read more about Microsoft's compliance offerings.

Usare la procedura seguente per configurare l'account di archiviazione per gli asset di dati privati.Use the following steps to configure your storage account for private data assets. Questa configurazione viene eseguita dal processo di analisi di flusso, non dall'account di archiviazione.This configuration is made from your Stream Analytics job, not from your storage account.

  1. Accedere al portale di Azure.Sign in to the Azure portal.

  2. Selezionare Crea risorsa nell'angolo superiore sinistro del portale di Azure.Select Create a resource in the upper left-hand corner of the Azure portal.

  3. Selezionare Analytics analisi   > di flusso processo   dall'elenco risultati.Select Analytics > Stream Analytics job from the results list.

  4. Compilare la pagina del processo di analisi di flusso con i dettagli necessari, ad esempio il nome, l'area e la scala.Fill out the Stream Analytics job page with necessary details such as name, region, and scale.

  5. Selezionare la casella di controllo per proteggere tutti gli asset di dati privati necessari per questo processo nell'account di archiviazione.Select the check box that says Secure all private data assets needed by this job in my Storage account.

  6. Selezionare un account di archiviazione dalla sottoscrizione.Select a storage account from your subscription. Si noti che questa impostazione non può essere modificata durante tutto il ciclo di vita del processo.Note that this setting cannot be modified throughout the life cycle of the job. Non è inoltre possibile aggiungere questa opzione dopo che il processo è stato creato.You also cannot add this option once the job is created.

  7. Per eseguire l'autenticazione con una stringa di connessione, selezionare stringa di connessione nell'elenco a discesa modalità di autenticazione.To authenticate with a connection string, select Connection string from the Authentication mode dropdown. La chiave dell'account di archiviazione viene popolata automaticamente dalla sottoscrizione.The storage account key is automatically populated from your subscription.

    Impostazioni dell'account di archiviazione dati privato

  8. Per eseguire l'autenticazione con identità gestita (anteprima), selezionare identità gestita dall'elenco a discesa modalità di autenticazione.To authenticate with Managed Identity (preview), select Managed Identity from the Authentication mode dropdown. Se si sceglie identità gestita, è necessario aggiungere il processo di analisi di flusso all'elenco di controllo di accesso dell'account di archiviazione con il ruolo di collaboratore dei dati BLOB di archiviazione .If you choose Managed Identity, you need to add your Stream Analytics job to the storage account's access control list with the Storage Blob Data Contributor role. Se non si concede l'accesso al processo, il processo non sarà in grado di eseguire alcuna operazione.If you do not give your job access, the job will not be able to perform any operations. Per altre informazioni su come concedere l'accesso, vedere usare il controllo degli accessi in base al ruolo di Azure per assegnare un'identità gestita a un'altra risorsa.For more information on how to grant access, see Use Azure RBAC to assign a managed identity access to another resource.

    Impostazioni dell'account di archiviazione dati privati con autenticazione identità gestita

Asset di dati privati archiviati da analisi di flussoPrivate data assets that are stored by Stream Analytics

Tutti i dati privati che devono essere salvati in modo permanente da analisi di flusso vengono archiviati nell'account di archiviazione.Any private data that is required to be persisted by Stream Analytics is stored in your storage account. Esempi di asset di dati privati includono:Examples of private data assets include:

  • Query create e relative configurazioniQueries that you have authored and their related configurations

  • Funzioni definite dall'utenteUser-defined functions

  • Checkpoint necessari per il runtime di analisi di flussoCheckpoints needed by the Stream Analytics runtime

  • Snapshot dei dati di riferimentoSnapshots of reference data

Vengono archiviati anche i dettagli della connessione delle risorse, usati dal processo di analisi di flusso.Connection details of your resources, which are used by your Stream Analytics job, are also stored. Crittografare l'account di archiviazione per proteggere tutti i dati.Encrypt your storage account to secure all of your data.

Per soddisfare gli obblighi di conformità in qualsiasi settore o ambiente regolamentato, è possibile leggere altre informazioni sulle offerte di conformità di Microsoft.To help you meet your compliance obligations in any regulated industry or environment, you can read more about Microsoft's compliance offerings.

Abilita la residenza dei datiEnables Data Residency

Questa funzionalità può essere usata per applicare eventuali requisiti di residenza dei dati, fornendo un account di archiviazione di conseguenza.You may use this feature to enforce any data residency requirements you may have by providing a storage account accordingly.

Problemi notiKnown issues

Si verifica un problema noto in cui un processo che usa la chiave gestita dal cliente si verifica in caso di errori quando si usa l'identità gestita per l'autenticazione a qualsiasi input o output.There is a known issue where a job using customer managed key runs into failures when using managed identity to authenticate to any inputs or outputs.

Passaggi successiviNext steps