次の方法で共有

Fabric ワークスペースのカスタマー マネージド キー

Microsoft Fabric は、Microsoft マネージド キーを使用して保存データをすべて暗号化します。 Fabric ワークスペースのカスタマー マネージド キーを使用すると、 Azure Key Vault キーを使用して、Microsoft Fabric ワークスペース内のデータ (OneLake 内のすべてのデータを含む) に別の保護レイヤーを追加できます。 カスタマー マネージド キーは柔軟性を高め、ローテーションの管理、アクセスの制御、使用状況の監査を行うことができます。 また、組織がデータ ガバナンスのニーズを満たし、データ保護と暗号化の標準に準拠するのにも役立ちます。

カスタマー マネージド キーのしくみ

すべての Fabric データ ストアは、Microsoft が管理するキーを使用して保存時に暗号化されます。 カスタマー マネージド キーはエンベロープ暗号化を使用します。キー暗号化キー (KEK) はデータ暗号化キー (DEK) を暗号化します。 カスタマー マネージド キーを使用する場合、Microsoft マネージド DEK はデータを暗号化し、DEK はカスタマー マネージド KEK を使用して暗号化されます。 Key Vault から離れない KEK を使用すると、データ暗号化キー自体を暗号化および制御できます。 これにより、CMK 対応ワークスペース内のすべての顧客コンテンツがカスタマー マネージド キーを使用して暗号化されます。

ワークスペースのカスタマー マネージド キーによる暗号化を有効にする

ワークスペース管理者は、ワークスペース レベルで CMK を使用して暗号化を設定できます。 ワークスペース管理者がポータルで設定を有効にすると、そのワークスペースに格納されているすべての顧客コンテンツが、指定した CMK を使用して暗号化されます。 CMK は AKV のアクセス ポリシーとロールベースのアクセス制御 (RBAC) と統合されるため、組織のセキュリティ モデルに基づいて細かいアクセス許可を柔軟に定義できます。 後で CMK 暗号化を無効にすることを選択した場合、ワークスペースは Microsoft マネージド キーの使用に戻ります。 また、キーはいつでも取り消すことができます。また、暗号化されたデータへのアクセスは失効から 1 時間以内にブロックされます。 ワークスペース レベルの細分性と制御により、Fabric のデータのセキュリティを高めます。

サポートされているアイテム

カスタマー マネージド キーは、現在、次の Fabric 項目でサポートされています。

  • レイクハウス
  • 倉庫
  • Notebook
  • 環境
  • Spark ジョブ定義
  • GraphQL 用 API
  • ML モデル
  • 実験
  • パイプライン
  • データフロー
  • 業種別ソリューション

この機能は、サポートされていない項目を含むワークスペースでは有効にできません。 Fabric ワークスペースのカスタマー マネージド キー暗号化が有効になっている場合、サポートされている項目のみをそのワークスペースに作成できます。 サポートされていない項目を使用するには、この機能が有効になっていない別のワークスペースに作成します。

ワークスペースのカスタマー マネージド キーを使用して暗号化を構成する

Fabric ワークスペースのカスタマー マネージド キーには、初期セットアップが必要です。 このセットアップには、Fabric 暗号化テナント設定の有効化、Azure Key Vault の構成、Azure Key Vault へのアクセス権の付与が含まれます。 セットアップが完了すると、 管理者ワークスペース ロール を持つユーザーがワークスペースで機能を有効にすることができます。

手順 1: Fabric テナント設定を有効にする

ファブリック管理者は、[カスタマー マネージド キーの適用] 設定が有効になっていることを確認する必要があります。 詳細については、 暗号化テナントの設定 に関する記事を参照してください。

手順 2: Fabric Platform CMK アプリのサービス プリンシパルを作成する

Fabric では、 Fabric Platform CMK アプリを使用して Azure Key Vault にアクセスします。 アプリを機能させるには、テナントの サービス プリンシパル を作成する必要があります。 このプロセスは、 クラウド アプリケーション管理者などの Microsoft Entra ID 特権を持つユーザーによって実行されます。

「Microsoft Entra ID でマルチテナント アプリケーションからエンタープライズ アプリケーションを作成する」の手順に従って、Fabric Platform CMK というアプリケーションのサービス プリンシパルを、Microsoft Entra ID テナントにアプリ ID 61d6811f-7544-4e75-a1e6-1c59c0383311 と共に作成します。

手順 3: Azure Key Vault を構成する

Fabric がアクセスできるように Key Vault を構成する必要があります。 この手順は、Key Vault 管理者などの Key Vault 権限を持つユーザーによって実行 されます。 詳細については、「Azure セキュリティ ロール」を参照してください。

  1. Azure portal を開き、Key Vault に移動します。 Key Vault をお持ちでない場合は、「 Azure portal を使用してキー コンテナーを作成する」の手順に従ってください。

  2. Key Vault で、次の設定を構成します。

  3. Key Vault で、 アクセス制御 (IAM) を開きます。

  4. [ 追加 ] ドロップダウンから、[ ロールの割り当ての追加] を選択します。

  5. [ メンバー ] タブを選択し、[ メンバーの選択] をクリックします。

  6. [メンバーの選択] ウィンドウでFabric Platform CMK を検索します。

  7. Fabric Platform CMK アプリを選択し、[選択] を選択します

  8. [ロール] タブを選択し、Key Vault Crypto Service Encryption User、またはキーの取得、ラップキー、アンラップキー のアクセス許可を有効にするロールを検索します。

  9. Key Vault Crypto Service Encryption ユーザーを選択します。

  10. [ 確認と割り当て ] を選択し、[ 確認と割り当て ] を選択して選択を確定します。

手順 4: Azure Key Vault キーを作成する

Azure Key Vault キーを作成するには、「Azure portal を使用してキー コンテナーを作成する」の手順に従います。

Key Vault の要件

Fabric では、形式のhttps://{vault-name}.vault.azure.net/{key-type}/{key-name}のみがサポートされます。 Fabric は、新しいバージョンのキー ボルトを毎日チェックし、最新のバージョンを使用します。 新しいキーが作成された後にワークスペース内のデータにアクセスできない期間が発生しないようにするには、24 時間待ってから古いバージョンを無効にします。

Key Vault と Managed HSM では、論理的な削除と消去の両方の保護が有効になっている必要があり、キーは RSA または RSA-HSM の種類である必要があります。 サポートされているキー サイズは次のとおりです。

  • 2,048 ビット
  • 3,072 ビット
  • 4,096 ビット

詳細については、キーについてのページを参照してください。

手順 5: カスタマー マネージド キーを使用して暗号化を有効にする

前提条件を完了したら、このセクションの手順に従って、Fabric ワークスペースでカスタマー マネージド キーを有効にします。

  1. Fabric ワークスペースから、[ ワークスペースの設定] を選択します。

  2. [ワークスペースの設定] ウィンドウで、[暗号化] を選択します。

  3. カスタマー マネージド キーの適用を有効にします。

  4. [ キー識別子 ] フィールドに、カスタマー マネージド キー識別子を入力します。

  5. を選択してを適用します。

これらの手順を完了すると、ワークスペースはカスタマー マネージド キーで暗号化されます。 つまり、Onelake 内のすべてのデータが暗号化され、ワークスペース内の既存および将来の項目は、セットアップに使用したカスタマー マネージド キーによって暗号化されます。 ワークスペース設定の [暗号化] タブで、暗号化の状態 [アクティブ]、[進行中]、または [失敗] を確認できます。 暗号化が進行中または失敗した項目もカテゴリ別に一覧表示されます。 キーは、暗号化の進行中 ( 状態: 進行中) に Key Vault でアクティブなままにする必要があります。 ページを更新して、最新の暗号化状態を表示します。 ワークスペース内の一部の項目の暗号化に失敗した場合は、別のキーを使用して再試行できます。

アクセスの取り消し

カスタマー マネージド キーを使用して暗号化されたワークスペース内のデータへのアクセスを取り消すには、Azure Key Vault 内のキーを取り消します。 キーが取り消された時点から 60 分以内に、ワークスペースへの読み取りと書き込みの呼び出しが失敗します。

アクセス ポリシーを変更する、キー コンテナーのアクセス許可を変更する、またはキーを削除することで、カスタマー マネージド暗号化キーを取り消すことができます。

アクセスを再開するには、Key Vault 内のカスタマー マネージド キーへのアクセスを復元します。

暗号化を無効にする

カスタマー マネージド キーを使用したワークスペースの暗号化を無効にするには、[ ワークスペースの設定] で [ カスタマー マネージド キーの適用] を無効にします。 ワークスペースは、Microsoft マネージド キーを使用して暗号化されたままになります。

注: ワークスペース内のファブリック項目の暗号化が進行中の間は、カスタマー マネージド キーを無効にすることはできません。

モニタリング

監査ログ エントリを使用して、Fabric ワークスペースの暗号化構成要求を追跡できます。 監査ログでは、次の操作名が使用されます。

  • ApplyWorkspaceEncryption
  • DisableWorkspaceEncryption
  • GetWorkspaceEncryption

考慮事項と制限事項

カスタマー マネージド キーを使用して Fabric ワークスペースを構成する前に、次の制限事項を考慮してください。

  • 以下に示すデータは、カスタマー マネージド キーで保護されていません。

    • Lakehouse 列名、テーブル形式、テーブル圧縮。
    • Spark クラスターに格納されているすべてのデータ (シャッフルまたはデータ スピルの一部として一時ディスクに格納されたデータ、または Spark アプリケーションの RDD キャッシュ) は保護されません。 これには、ノートブック、レイクハウス、Sparkジョブ定義、レイクハウステーブルのロードとメンテナンスジョブ、ショートカット変換、ファブリックマテリアライズドビューの更新からのすべてのSparkジョブが含まれます。
    • 履歴サーバーに格納されているジョブ ログ
    • 環境の一部としてアタッチされたライブラリ、またはマジック コマンドを使用して Spark セッションのカスタマイズの一部として追加されたライブラリは保護されません
    • パイプラインとコピー ジョブの作成時に生成されるメタデータ (DB 名、テーブル、スキーマなど)
    • モデル名、バージョン、メトリックなど、ML モデルと実験のメタデータ
    • Object Explored とバックエンド キャッシュに対するウェアハウス クエリ。各使用後に削除されます

  • CMK はすべての F SKU でサポートされています。 試用版容量は、CMK を使用した暗号化には使用できません。 BYOK が有効になっているワークスペースでは CMK を有効にできず、CMK ワークスペースも BYOK が有効になっている容量に移動できません。

  • CMK は Fabric ポータルを使用して有効にすることができ、API はサポートされていません。

  • Azure Key Vault のファイアウォール設定が有効になっている場合、CMK はサポートされません。

  • テナント レベルの暗号化設定がオンになっている間は、ワークスペースに対して CMK を有効または無効にすることができます。 テナント設定がオフになると、そのテナント内のワークスペースに対して CMK を有効にしたり、そのテナントで既に CMK が有効になっているワークスペースに対して CMK を無効にしたりできなくなります。 テナント設定がオフになる前に CMK を有効にしたワークスペース内のデータは、カスタマー マネージド キーを使用して暗号化されたままになります。 関連付けられているキーをアクティブのままにして、そのワークスペース内のデータのラップを解除できます。

関連コンテンツ