Azure Stream Analytics でのデータ保護Data protection in Azure Stream Analytics

Azure Stream Analytics は、フル マネージドなサービスとしてのプラットフォームであり、リアルタイム分析パイプラインを構築することができます。Azure Stream Analytics is a fully managed platform-as-a-service that allows you to build real-time analytics pipelines. クラスターのプロビジョニング、使用量に合わせたノードのスケーリング、内部チェックポイントの管理などの時間がかかる処理は、すべてバックグラウンドで管理されます。All of the heavy lifting, such as cluster provisioning, scaling nodes to accommodate your usage, and managing internal checkpoints, is managed behind the scenes.

格納されるプライベート データ資産Private data assets that are stored

Azure Stream Analytics によって、次のメタデータとデータが実行目的で保持されます。Azure Stream Analytics persists the following metadata and data in order to run:

  • クエリ定義とそれに関連する構成Query definition and their related configuration

  • ユーザー定義の関数または集計User-defined functions or aggregates

  • Stream Analytics ランタイムで必要とされるチェックポイントCheckpoints needed by the Stream Analytics runtime

  • 参照データのスナップショットSnapshots of reference data

  • Stream Analytics ジョブによって使用されるリソースの接続詳細Connection details of the resources used by your Stream Analytics job

規制されている業界や環境におけるコンプライアンス義務を果たすために、Microsoft のコンプライアンス認証に関するページを参照してください。To help you meet your compliance obligations in any regulated industry or environment, you can read more about Microsoft's compliance offerings.

リージョン内のデータ所在地In-Region Data Residency

Azure Stream Analytics には、前に説明した顧客データとその他のメタデータが格納されます。Azure Stream Analytics stores customer data and other metadata described above. 顧客データは、Azure Stream Analytics によって 1 つのリージョンに既定で格納されるため、このサービスは、セキュリティ センターに指定されているものも含めて、リージョンのデータ所在地の要件を自動的に満たします。Customer data is stored by Azure Stream Analytics in a single region by default, so this service automatically satisfies in region data residency requirements including those specified in the Trust Center. さらに、ストリーム分析ジョブに関連するすべてのデータ資産 (顧客データやその他のメタデータ) を、選択したストレージ アカウントで暗号化して単一のリージョンに保存することもできます。Additionally, you can choose to store all data assets (customer data and other metadata) related to your stream analytics job in a single region by encrypting them in a storage account of your choice.

データを暗号化するEncrypt your data

Stream Analytics は、データの暗号化とセキュリティ保護のために、最高クラスの暗号化規格をインフラストラクチャ全体で自動的に使用します。Stream Analytics automatically employs best-in-class encryption standards across its infrastructure to encrypt and secure your data. Stream Analytics を信頼するだけで、インフラストラクチャの管理について心配する必要なく、すべてのデータを安全に格納できます。You can simply trust Stream Analytics to securely store all your data so that you don't have to worry about managing the infrastructure.

カスタマー マネージド キー (CMK) を使用してデータを暗号化する場合は、独自のストレージ アカウント (汎用 V1 または V2) を使用して、Stream Analytics ランタイムに必要なプライベート データ資産を格納できます。If you want to use customer-managed keys (CMK) to encrypt your data, you can use your own storage account (general purpose V1 or V2) to store any private data assets that are required by the Stream Analytics runtime. ストレージ アカウントは、必要に応じて暗号化できます。Your storage account can be encrypted as needed. プライベート データ資産が、Stream Analytics インフラストラクチャによって永続的に保存されることはありません。None of your private data assets are stored permanently by the Stream Analytics infrastructure.

この設定は Stream Analytics ジョブの作成時に構成する必要があり、ジョブのライフ サイクル全体を通して変更することはできません。This setting must be configured at the time of Stream Analytics job creation, and it can't be modified throughout the job's life cycle. Stream Analytics によって使用されているストレージの変更または削除は推奨されません。Modification or deletion of storage that is being used by your Stream Analytics is not recommended. ストレージ アカウントを削除すると、すべてのプライベート データ資産が完全に削除されるため、ジョブが失敗します。If you delete your storage account, you will permanently delete all private data assets, which will cause your job to fail.

Stream Analytics ポータルを使用しても、ストレージ アカウントに対するキーの更新またはローテーションを行うことはできません。Updating or rotating keys to your storage account is not possible using the Stream Analytics portal. REST API を使用して、キーを更新できます。You can update the keys using the REST APIs.

プライベート データ用のストレージ アカウントを構成するConfigure storage account for private data

ストレージ アカウントを暗号化してすべてのデータを保護し、プライベート データの場所を明示的に選択します。Encrypt your storage account to secure all of your data and explicitly choose the location of your private data.

規制されている業界や環境におけるコンプライアンス義務を果たすために、Microsoft のコンプライアンス認証に関するページを参照してください。To help you meet your compliance obligations in any regulated industry or environment, you can read more about Microsoft's compliance offerings.

プライベート データ資産用のストレージ アカウントを構成するには、次の手順に従います。Use the following steps to configure your storage account for private data assets. この構成は、ストレージ アカウントからではなく、Stream Analytics ジョブから作られます。This configuration is made from your Stream Analytics job, not from your storage account.

  1. Azure portal にサインインします。Sign in to the Azure portal.

  2. Azure Portal の左上隅にある [リソースの作成] を選択します。Select Create a resource in the upper left-hand corner of the Azure portal.

  3. 結果の一覧で、 [分析]  > [Stream Analytics ジョブ]   の順に選択します。Select Analytics > Stream Analytics job from the results list.

  4. [Stream Analytics ジョブ] ページで、名前、リージョン、スケールなどの必要な詳細情報を入力します。Fill out the Stream Analytics job page with necessary details such as name, region, and scale.

  5. [Secure all private data assets needed by this job in my Storage account](このジョブに必要なすべてのプライベート データ資産を自分のストレージ アカウントに保管してセキュリティで保護する) チェック ボックスをオンにします。Select the check box that says Secure all private data assets needed by this job in my Storage account.

  6. サブスクリプションからストレージ アカウントを選択します。Select a storage account from your subscription. この設定は、ジョブのライフ サイクル全体を通して変更できないことに注意してください。Note that this setting cannot be modified throughout the life cycle of the job.

    プライベート データ ストレージ アカウントの設定

既知の問題Known issues

現在、マネージド ID を使用して入力または出力を認証するときに、カスタマー マネージド キーを使用するジョブが失敗するという既知の制限があります。Currently, there is a known limitation where a job using customer managed key runs into failures when using managed identity to authenticate to any inputs or outputs.

次のステップNext steps