次の方法で共有

Fabric Data Warehouse でのデータ暗号化

適用対象:✅Microsoft Fabric の倉庫

Fabric Data Warehouse では、保存されているすべてのデータが既定で暗号化され、Microsoft が管理するキーを使用して情報が確実に保護されます。

さらに、カスタマー マネージド キー (CMK) を使用してセキュリティ体制を強化し、データとメタデータを保護する暗号化キーを直接制御できます。

Fabric Data Warehouse を含むワークスペースに対して CMK を有効にすると、OneLake データメタデータとウェアハウス メタデータの両方が、Azure Key Vault でホストされる暗号化キーを使用して保護されます。 カスタマー マネージド キーを使用すると、Fabric ワークスペースを独自の Azure Key Vault に直接接続できます。 キーの作成、アクセス、ローテーションを完全に制御し、組織のセキュリティおよびガバナンス ポリシーに確実に準拠します。

Fabric ワークスペースの CMK の構成を開始するには、Fabric ワークスペース のカスタマー マネージド キーに関するページを参照してください。

Fabric Data Warehouse でのデータ暗号化のしくみ

Fabric Data Warehouse は、多層暗号化モデルに従って、データが静止時および使用中も保護され続けるようにします。

カスタマー マネージド キー (C M K) を使用した Fabric Data Warehouse での暗号化レイヤーの図。

SQL フロントエンド: メタデータ (テーブル、ビュー、関数、ストアド プロシージャ) を暗号化します。

バックエンド コンピューティング プール: エフェメラル キャッシュを使用します。データは保存されません。

OneLake: すべての永続化されたデータは暗号化されます。

SQL フロントエンド レイヤーの暗号化

ワークスペースに対して CMK が有効になっている場合、Fabric Data Warehouse はカスタマー マネージド キーを使用して、テーブル定義、ストアド プロシージャ、関数、スキーマ情報などのメタデータを暗号化します。

これにより、OneLake 内のデータと、ウェアハウス内の個人データを含むメタデータの両方が、独自のキーで暗号化されます。

バックエンド コンピューティング プールレイヤーの暗号化

Fabric のコンピューティング バックエンドは、一時的なキャッシュ ベースの環境でクエリを処理します。 これらのキャッシュにデータが残ることはありません。 Fabric Warehouse では、使用後にすべてのバックエンド キャッシュ コンテンツが削除されるため、一時的なデータはセッションの有効期間を超えて保持されることはありません。

有効期間が短いため、バックエンド キャッシュは Microsoft が管理するキーでのみ暗号化され、パフォーマンス上の理由から CMK による暗号化の対象になりません。 バックエンド キャッシュは、通常のコンピューティング操作の一部として自動的にクリアされ、再生成されます。

OneLake レイヤーの暗号化

OneLake に格納されているすべてのデータは、既定で Microsoft が管理するキーを使用して保存時に暗号化されます。

CMK が有効になっている場合、カスタマー マネージド キー (Azure Key Vault に格納) を使用して データ暗号化キー (DEK) が暗号化され、保護のエンベロープが追加されます。 キーローテーション、アクセス ポリシー、および監査の制御を維持します。

Important

CMK 対応ワークスペースでは、すべての OneLake データがカスタマー マネージド キーを使用して暗号化されます。

制限事項

Fabric Data Warehouse の CMK を有効にする前に、次の考慮事項を確認してください。

  • キー伝達の遅延: Azure Key Vault でキーがローテーション、更新、または置き換えられると、Fabric の SQL レイヤーの前に伝達遅延が発生する可能性があります。 特定の状況では、この遅延は、新しいキーを使用して SQL 接続が再確立されるまでに最大 20 分かかる場合があります。

  • バックエンド キャッシュ: Fabric のバックエンド コンピューティング プールによって処理されるデータは、有効期間が短くメモリ内の性質上、保存時の CMK では暗号化されません。 Fabric は、使用するたびにキャッシュされたデータを自動的に削除します。

  • キー失効中のサービスの可用性: CMK にアクセスできなくなったり取り消されたりした場合、キーへのアクセスが復元されるまで、ワークスペースでの読み取りと書き込みの操作は失敗します。

  • DMV のサポート: CMK 構成はワークスペース レベルで確立および構成されているため、 sys.dm_database_encryption_keys を使用してデータベースの暗号化状態を表示することはできません。これはワークスペース レベルでのみ発生します。

  • ファイアウォールの制限: Azure Key Vault ファイアウォールが有効になっている場合、CMK はサポートされません。

  • Fabric ポータル クエリ エディターのオブジェクト エクスプローラーのクエリは、CMK では暗号化されません。

関連コンテンツ