Azure Data Factory'i müşteri tarafından yönetilen anahtarlarla şifreleme
UYGULANANLAR: Azure Data Factory Azure Synapse Analytics
Bahşiş
Kuruluşlar için hepsi bir arada analiz çözümü olan Microsoft Fabric'te Data Factory'yi deneyin. Microsoft Fabric , veri taşımadan veri bilimine, gerçek zamanlı analize, iş zekasına ve raporlamaya kadar her şeyi kapsar. Yeni bir deneme sürümünü ücretsiz olarak başlatmayı öğrenin!
Azure Data Factory, varlık tanımları ve çalıştırma işlemleri devam ederken önbelleğe alınan veriler dahil olmak üzere bekleyen tüm verileri şifreler. Veriler varsayılan olarak benzersiz bir şekilde veri fabrikanıza atanmış olan ve rastgele oluşturulan Microsoft tarafından yönetilen anahtar ile şifrelenir. Ek güvenlik garantileri için artık Azure Data Factory'de müşteri tarafından yönetilen anahtarlarla Kendi Anahtarını Getir (KAG) özelliğini etkinleştirebilirsiniz. Müşteri tarafından yönetilen bir anahtar belirttiğinizde Data Factory, müşteri verilerini şifrelemek için hem fabrika sistem anahtarını hem de CMK'yi kullanır. İkisinden birinin eksik olması halinde verilere ve fabrikaya erişim reddedilir.
Müşteri tarafından yönetilen anahtarların depolanması için bir Azure Key Vault örneği gerekir. Kendi anahtarlarınızı oluşturup bir anahtar kasasında depolayabilir veya anahtar oluşturmak için Azure Key Vault API'lerini kullanabilirsiniz. Anahtar kasası ve Data Factory aynı Microsoft Entra kiracısında ve aynı bölgede olmalıdır, ancak farklı aboneliklerde olabilir. Azure Key Vault hakkında daha fazla bilgi için bkz. Azure Key Vault nedir?
Müşteri tarafından yönetilen anahtarlar hakkında
Aşağıdaki diyagramda Data Factory'nin müşteri tarafından yönetilen anahtarı kullanarak istekte bulunmak için Microsoft Entra Id ve Azure Key Vault'u nasıl kullandığı gösterilmektedir:
Aşağıdaki listede diyagramdaki numaralandırılmış adımlar açıklanmaktadır:
- Azure Key Vault yöneticisi, Data Factory ile ilişkili yönetilen kimliğe şifreleme anahtarları için izinler verir
- Data Factory yöneticisi, fabrikada müşteri tarafından yönetilen anahtar özelliğini etkinleştirir
- Data Factory, Microsoft Entra Id aracılığıyla Azure Key Vault'a erişimin kimliğini doğrulamak için fabrikayla ilişkili yönetilen kimliği kullanır
- Data Factory, fabrika şifreleme anahtarını Azure Key Vault'taki müşteri anahtarıyla sarmalar
- Okuma/yazma işlemleri için Data Factory, şifreleme ve şifre çözme işlemleri gerçekleştirmek üzere hesap şifreleme anahtarını açmak için Azure Key Vault'a istekler gönderir
Veri fabrikalarına Müşteri Tarafından Yönetilen Anahtar şifrelemesi eklemenin iki yolu vardır. Bunlardan biri Azure portalında fabrika oluşturma zamanı, diğeri de Data Factory kullanıcı arabiriminde fabrika oluşturma sonrasıdır.
Önkoşullar - Azure Key Vault'ı yapılandırma ve anahtar oluşturma
Azure Key Vault'ta Geçici Silmeyi ve Temizlemeyi Etkinleştirme
Data Factory ile müşteri tarafından yönetilen anahtarların kullanılması için Key Vault'ta iki özelliğin ayarlanması gerekir: Geçici Silme ve Temizleme. Bu özellikler yeni veya mevcut bir anahtar kasasında PowerShell veya Azure CLI kullanılarak etkinleştirilebilir. Mevcut bir anahtar kasasında bu özellikleri etkinleştirmeyi öğrenmek için bkz . Geçici silme ve temizleme koruması ile Azure Key Vault kurtarma yönetimi
Azure portalı aracılığıyla yeni bir Azure Key Vault oluşturuyorsanız Geçici Silme ve Temizleme aşağıdaki gibi etkinleştirilebilir:
Data Factory'ye Azure Key Vault erişimi verme
Azure Key Vault ve Azure Data Factory'nin aynı Microsoft Entra kiracısında ve aynı bölgede olduğundan emin olun. Azure Key Vault erişim denetiminden veri fabrikasına şu izinleri verin: Get, Unwrap Key ve Wrap Key. Bu izinler Data Factory'de müşteri tarafından yönetilen anahtarları etkinleştirmek için gereklidir.
Data Factory kullanıcı arabiriminde fabrika oluşturulduktan sonra müşteri tarafından yönetilen anahtar şifrelemesi eklemek istiyorsanız, Data Factory'nin yönetilen hizmet kimliğinin (MSI) Key Vault için üç izne sahip olduğundan emin olun
Azure portalda fabrika oluşturma sırasında müşteri tarafından yönetilen anahtar şifrelemesi eklemek istiyorsanız kullanıcı tarafından atanan yönetilen kimliğin (UA-MI) Key Vault için üç izni olduğundan emin olun
Müşteri tarafından yönetilen anahtar oluşturma veya Azure Key Vault'a yükleme
Kendi anahtarlarınızı oluşturabilir ve bir anahtar kasasında depolayabilirsiniz. İsterseniz anahtar oluşturmak için Azure Key Vault API'lerini de kullanabilirsiniz. Data Factory şifrelemesi ile yalnızca RSA anahtarları desteklenir. RSA-HSM de desteklenir. Daha fazla bilgi için bkz . Anahtarlar, gizli diziler ve sertifikalar hakkında.
Müşteri tarafından yönetilen anahtarı etkinleştirme
Data Factory kullanıcı arabiriminde fabrika oluşturma sonrası
Bu bölümde, fabrika oluşturulduktan sonra Data Factory kullanıcı arabiriminde müşteri tarafından yönetilen anahtar şifrelemesi ekleme işlemi gösterilmektedir.
Dekont
Müşteri tarafından yönetilen anahtar yalnızca boş bir data Factory'de yapılandırılabilir. Veri fabrikası bağlı hizmetler, işlem hatları ve veri akışları gibi herhangi bir kaynak içeremez. Fabrika oluşturulduktan hemen sonra müşteri tarafından yönetilen anahtarın etkinleştirilmesi önerilir.
Önemli
Bu yaklaşım yönetilen sanal ağ özellikli fabrikalarla çalışmaz. Bu tür fabrikaları şifrelemek istiyorsanız lütfen alternatif yolu göz önünde bulundurun.
Veri fabrikasının Yönetilen Hizmet Kimliği'nin (MSI) Anahtar Kasası'na Alma, Anahtar Açma ve Sarmalama izinlerine sahip olduğundan emin olun.
Data Factory'nin boş olduğundan emin olun. Veri fabrikası bağlı hizmetler, işlem hatları ve veri akışları gibi herhangi bir kaynak içeremez. Şimdilik müşteri tarafından yönetilen anahtarın boş olmayan bir fabrikaya dağıtılması hataya neden olur.
Azure portalında anahtar URI'sini bulmak için Azure Key Vault'a gidin ve Anahtarlar ayarını seçin. İstediğiniz anahtarı seçin ve ardından sürümlerini görüntülemek için anahtarı seçin. Ayarları görüntülemek için bir anahtar sürümü seçin
URI'yi sağlayan Anahtar Tanımlayıcısı alanının değerini kopyalayın
Azure Data Factory portalını başlatın ve sol taraftaki gezinti çubuğunu kullanarak Data Factory Yönetim Portalı'na atlayın
Müşteri tarafından yönetilen anahtar simgesine tıklayın
Daha önce kopyaladığınız müşteri tarafından yönetilen anahtarın URI'sini girin
Kaydet'e tıklayın ve Data Factory için müşteri tarafından yönetilen anahtar şifrelemesi etkinleştirildi
Azure portalında fabrika oluşturma sırasında
Bu bölümde, fabrika dağıtımı sırasında Azure portalında müşteri tarafından yönetilen anahtar şifrelemesi ekleme adımları gösterilmektedir.
Fabrikayı şifrelemek için Data Factory'nin önce Key Vault'tan müşteri tarafından yönetilen anahtarı alması gerekir. Fabrika dağıtımı devam ettiğinden, Yönetilen Hizmet Kimliği (MSI) henüz Key Vault ile kimlik doğrulaması için kullanılamıyor. Bu nedenle, bu yaklaşımı kullanmak için müşterinin veri fabrikasına kullanıcı tarafından atanan yönetilen kimliği (UA-MI) ataması gerekir. UA-MI'de tanımlanan rolleri varsayacak ve Key Vault ile kimlik doğrulaması yapacağız.
Kullanıcı tarafından atanan yönetilen kimlik hakkında daha fazla bilgi edinmek için bkz . Yönetilen kimlik türleri ve Kullanıcı tarafından atanan yönetilen kimlik için rol ataması.
Kullanıcı Tarafından Atanan Yönetilen Kimliğin (UA-MI) Anahtar Kasasına Alma,Anahtar Açma ve Sarmalama izinlerine sahip olduğundan emin olun
Gelişmiş sekmesi altında, Müşteri tarafından yönetilen anahtar kullanarak şifrelemeyi etkinleştirme kutusunu işaretleyin
Key Vault'ta depolanan müşteri tarafından yönetilen anahtarın URL'sini sağlayın
Key Vault ile kimlik doğrulaması yapmak için uygun bir kullanıcı tarafından atanan yönetilen kimlik seçin
Fabrika dağıtımına devam edin
Anahtar Sürümünü Güncelleştir
Anahtarın yeni bir sürümünü oluşturduğunuzda veri fabrikasını yeni sürümü kullanacak şekilde güncelleştirin. Aşağıdakiler dahil olmak üzere Data Factory kullanıcı arabirimi bölümünde açıklandığı gibi benzer adımları izleyin:
Azure Key Vault Portalı aracılığıyla yeni anahtar sürümünün URI'sini bulma
Müşteri tarafından yönetilen anahtar ayarına gidin
Yeni anahtarın URI'sini değiştirin ve yapıştırın
Kaydet'e tıkla, Data Factory artık yeni anahtar sürümüyle şifrelenecek
Farklı Bir Anahtar Kullanma
Data Factory şifrelemesi için kullanılan anahtarı değiştirmek için Data Factory'deki ayarları el ile güncelleştirmeniz gerekir. Aşağıdakiler dahil olmak üzere Data Factory kullanıcı arabirimi bölümünde açıklandığı gibi benzer adımları izleyin:
Azure Key Vault Portalı aracılığıyla yeni anahtarın URI'sini bulma
Müşteri tarafından yönetilen anahtar ayarına gidin
Yeni anahtarın URI'sini değiştirin ve yapıştırın
Kaydet'e tıkla, Data Factory şimdi yeni anahtarla şifrelenecek
Müşteri tarafından yönetilen anahtarları devre dışı bırakma
Tasarım gereği, müşteri tarafından yönetilen anahtar özelliği etkinleştirildikten sonra ek güvenlik adımını kaldıramazsınız. Müşteri tarafından sağlanan bir anahtarın fabrika ve verileri şifrelemesini her zaman bekleriz.
Müşteri tarafından yönetilen anahtar, sürekli tümleştirme ve sürekli dağıtım
Varsayılan olarak, CMK yapılandırması fabrika Azure Resource Manager (ARM) şablonuna dahil değildir. Sürekli tümleştirme (CI/CD) için ARM şablonuna müşteri tarafından yönetilen anahtar şifreleme ayarlarını eklemek için:
- Fabrikanın Git modunda olduğundan emin olun
- Yönetim portalı - müşteri tarafından yönetilen anahtar bölümüne gidin
- ARM şablonuna ekle seçeneğini işaretleyin
ARM şablonuna aşağıdaki ayarlar eklenir. Bu özellikler, Azure Resource Manager parametre yapılandırması düzenlenerek Sürekli Tümleştirme ve Teslim işlem hatlarında parametreleştirilebilir
Dekont
ŞIFRELEME ayarını ARM şablonlarına eklemek, diğer ortamlarda git yapılandırmaları gibi diğer fabrika düzeyi ayarlarını geçersiz kılacak fabrika düzeyinde bir ayar ekler. UAT veya PROD gibi yükseltilmiş bir ortamda bu ayarları etkinleştirdiyseniz lütfen CI/CD'de Genel Parametreler konusuna bakın.
İlgili içerik
Daha fazla senaryoda Data Factory’yi kullanma hakkında bilgi almak için öğreticileri okuyun.