Proteção de dados no Azure Stream AnalyticsData protection in Azure Stream Analytics

Azure Stream Analytics é uma plataforma como um serviço totalmente gerenciada que permite criar pipelines de análise em tempo real.Azure Stream Analytics is a fully managed platform-as-a-service that allows you to build real-time analytics pipelines. Todo o trabalho pesado, como provisionamento de cluster, dimensionamento de nós para acomodar seu uso e gerenciamento de pontos de verificação internos, é gerenciado em segundo plano.All of the heavy lifting, such as cluster provisioning, scaling nodes to accommodate your usage, and managing internal checkpoints, is managed behind the scenes.

Ativos de dados privados que são armazenadosPrivate data assets that are stored

Azure Stream Analytics persiste os seguintes metadados e dados para serem executados:Azure Stream Analytics persists the following metadata and data in order to run:

  • Definição de consulta e sua configuração relacionadaQuery definition and their related configuration

  • Agregações ou funções definidas pelo usuárioUser-defined functions or aggregates

  • Pontos de verificação necessários para o tempo de execução de Stream AnalyticsCheckpoints needed by the Stream Analytics runtime

  • Instantâneos de dados de referênciaSnapshots of reference data

  • Detalhes da conexão dos recursos usados pelo seu trabalho de Stream AnalyticsConnection details of the resources used by your Stream Analytics job

Para ajudá-lo a atender suas obrigações de conformidade em qualquer ambiente ou setor regulamentado, você pode ler mais sobre as ofertas de conformidade da Microsoft.To help you meet your compliance obligations in any regulated industry or environment, you can read more about Microsoft's compliance offerings.

Residência de dados de In-RegionIn-Region Data Residency

Azure Stream Analytics armazena dados do cliente e outros metadados descritos acima.Azure Stream Analytics stores customer data and other metadata described above. Os dados do cliente são armazenados por Azure Stream Analytics em uma única região por padrão, portanto, esse serviço atende automaticamente aos requisitos de residência de dados de região, incluindo aqueles especificados na central de confiabilidade.Customer data is stored by Azure Stream Analytics in a single region by default, so this service automatically satisfies in region data residency requirements including those specified in the Trust Center. Além disso, você pode optar por armazenar todos os ativos de dados (dados do cliente e outros metadados) relacionados ao trabalho do Stream Analytics em uma única região, criptografando-os em uma conta de armazenamento de sua escolha.Additionally, you can choose to store all data assets (customer data and other metadata) related to your stream analytics job in a single region by encrypting them in a storage account of your choice.

Criptografar seus dadosEncrypt your data

Stream Analytics emprega automaticamente os melhores padrões de criptografia em toda a sua infraestrutura para criptografar e proteger seus dados.Stream Analytics automatically employs best-in-class encryption standards across its infrastructure to encrypt and secure your data. Você pode simplesmente confiar Stream Analytics para armazenar com segurança todos os seus dados para que você não precise se preocupar com o gerenciamento da infraestrutura.You can simply trust Stream Analytics to securely store all your data so that you don't have to worry about managing the infrastructure.

Se você quiser usar chaves gerenciadas pelo cliente para criptografar seus dados, poderá usar sua própria conta de armazenamento (uso geral v1 ou v2) para armazenar quaisquer ativos de dados privados que são necessários para o tempo de execução de Stream Analytics.If you want to use customer-managed keys to encrypt your data, you can use your own storage account (general purpose V1 or V2) to store any private data assets that are required by the Stream Analytics runtime. Sua conta de armazenamento pode ser criptografada conforme necessário.Your storage account can be encrypted as needed. Nenhum dos seus ativos de dados privados são armazenados permanentemente pela infraestrutura de Stream Analytics.None of your private data assets are stored permanently by the Stream Analytics infrastructure.

Essa configuração deve ser definida no momento da criação do trabalho de Stream Analytics e não pode ser modificada durante o ciclo de vida do trabalho.This setting must be configured at the time of Stream Analytics job creation, and it can't be modified throughout the job's life cycle. A modificação ou exclusão de armazenamento que está sendo usada pelo seu Stream Analytics não é recomendada.Modification or deletion of storage that is being used by your Stream Analytics is not recommended. Se você excluir sua conta de armazenamento, excluirá permanentemente todos os ativos de dados privados, o que causará falha no trabalho.If you delete your storage account, you will permanently delete all private data assets, which will cause your job to fail.

Não é possível atualizar ou alternar chaves para sua conta de armazenamento usando o portal de Stream Analytics.Updating or rotating keys to your storage account is not possible using the Stream Analytics portal. Você pode atualizar as chaves usando as APIs REST.You can update the keys using the REST APIs.

Configurar a conta de armazenamento para dados privadosConfigure storage account for private data

Criptografe sua conta de armazenamento para proteger todos os seus dados e escolha explicitamente o local dos seus dados privados.Encrypt your storage account to secure all of your data and explicitly choose the location of your private data.

Para ajudá-lo a atender suas obrigações de conformidade em qualquer ambiente ou setor regulamentado, você pode ler mais sobre as ofertas de conformidade da Microsoft.To help you meet your compliance obligations in any regulated industry or environment, you can read more about Microsoft's compliance offerings.

Use as etapas a seguir para configurar sua conta de armazenamento para ativos de dados privados.Use the following steps to configure your storage account for private data assets. Essa configuração é feita de seu trabalho de Stream Analytics, não da sua conta de armazenamento.This configuration is made from your Stream Analytics job, not from your storage account.

  1. Entre no portal do Azure.Sign in to the Azure portal.

  2. Selecione Criar um recurso no canto superior esquerdo do portal do Azure.Select Create a resource in the upper left-hand corner of the Azure portal.

  3. Selecione análise   >  Stream Analytics trabalho   na lista de resultados.Select Analytics > Stream Analytics job from the results list.

  4. Preencha a página Stream Analytics trabalho com os detalhes necessários, como nome, região e escala.Fill out the Stream Analytics job page with necessary details such as name, region, and scale.

  5. Marque a caixa de seleção que diz proteger todos os ativos de dados privados necessários para esse trabalho em minha conta de armazenamento.Select the check box that says Secure all private data assets needed by this job in my Storage account.

  6. Selecione uma conta de armazenamento da sua assinatura.Select a storage account from your subscription. Observe que essa configuração não pode ser modificada durante o ciclo de vida do trabalho.Note that this setting cannot be modified throughout the life cycle of the job. Você também não poderá adicionar essa opção depois que o trabalho for criado.You also cannot add this option once the job is created.

  7. Para autenticar com uma cadeia de conexão, selecione cadeia de conexão no menu suspenso modo de autenticação.To authenticate with a connection string, select Connection string from the Authentication mode dropdown. A chave da conta de armazenamento é preenchida automaticamente de sua assinatura.The storage account key is automatically populated from your subscription.

    Configurações de conta de armazenamento de dados particulares

  8. Para autenticar com a identidade gerenciada (versão prévia), selecione identidade gerenciada no menu suspenso modo de autenticação.To authenticate with Managed Identity (preview), select Managed Identity from the Authentication mode dropdown. Se você escolher identidade gerenciada, precisará adicionar seu trabalho de Stream Analytics à lista de controle de acesso da conta de armazenamento com a função de colaborador de dados de blob de armazenamento .If you choose Managed Identity, you need to add your Stream Analytics job to the storage account's access control list with the Storage Blob Data Contributor role. Se você não der acesso ao trabalho, o trabalho não poderá executar nenhuma operação.If you do not give your job access, the job will not be able to perform any operations. Para obter mais informações sobre como conceder acesso, consulte usar o RBAC do Azure para atribuir um acesso de identidade gerenciada a outro recurso.For more information on how to grant access, see Use Azure RBAC to assign a managed identity access to another resource.

    Configurações de conta de armazenamento de dados particulares com autenticação de identidade gerenciada

Ativos de dados privados armazenados por Stream AnalyticsPrivate data assets that are stored by Stream Analytics

Todos os dados privados que precisam ser persistidos pelo Stream Analytics são armazenados em sua conta de armazenamento.Any private data that is required to be persisted by Stream Analytics is stored in your storage account. Exemplos de ativos de dados privados incluem:Examples of private data assets include:

  • Consultas que você criou e suas configurações relacionadasQueries that you have authored and their related configurations

  • Funções definidas pelo usuárioUser-defined functions

  • Pontos de verificação necessários para o tempo de execução de Stream AnalyticsCheckpoints needed by the Stream Analytics runtime

  • Instantâneos de dados de referênciaSnapshots of reference data

Os detalhes de conexão de seus recursos, que são usados pelo seu trabalho de Stream Analytics, também são armazenados.Connection details of your resources, which are used by your Stream Analytics job, are also stored. Criptografe sua conta de armazenamento para proteger todos os seus dados.Encrypt your storage account to secure all of your data.

Para ajudá-lo a atender suas obrigações de conformidade em qualquer ambiente ou setor regulamentado, você pode ler mais sobre as ofertas de conformidade da Microsoft.To help you meet your compliance obligations in any regulated industry or environment, you can read more about Microsoft's compliance offerings.

Habilita a residência de dadosEnables Data Residency

Você pode usar esse recurso para impor quaisquer requisitos de residência de dados que você possa ter fornecendo uma conta de armazenamento de acordo.You may use this feature to enforce any data residency requirements you may have by providing a storage account accordingly.

Problemas conhecidosKnown issues

Há um problema conhecido em que um trabalho que usa a chave gerenciada pelo cliente é executado em falhas ao usar a identidade gerenciada para se autenticar em qualquer entrada ou saída.There is a known issue where a job using customer managed key runs into failures when using managed identity to authenticate to any inputs or outputs.

Próximas etapasNext steps