Proteção de dados no Azure Stream Analytics
Azure Stream Analytics é uma plataforma como um serviço totalmente gerenciada que possibilita criar pipelines de análise em tempo real. Todo o trabalho pesado, como provisionamento de clusters, escala de nós para acomodar o uso e gerenciamento de pontos de verificação internos, é gerenciado em segundo plano.
Ativos de dados privados que são armazenados
O Azure Stream Analytics persiste os seguintes metadados e dados para executar:
Definição de consulta e a configuração relacionada
Agregações ou funções definidas pelo usuário
Pontos de verificação necessários para o runtime do Stream Analytics
Instantâneos de dados de referência
Detalhes da conexão dos recursos usados pelo trabalho do Stream Analytics
Residência de dados na região
O Azure Stream Analytics armazena dados do cliente e outros metadados descritos anteriormente. Por padrão, o Azure Stream Analytics armazena os dados do cliente em uma só região. Portanto, esse serviço atende aos requisitos de residência de dados na região, incluindo aqueles especificados na Central de Confiabilidade. Além disso, você pode optar por armazenar todos os ativos de dados (dados do cliente e outros metadados) relacionados ao trabalho do Stream Analytics em uma única região, criptografando-os em uma conta de armazenamento de sua escolha.
Criptografar seus dados
O Stream Analytics emprega automaticamente os melhores padrões de criptografia em toda a infraestrutura para criptografar e proteger seus dados. Você pode confiar no Stream Analytics para armazenar com segurança todos os seus dados para ficar despreocupado com o gerenciamento da infraestrutura.
Se você quiser usar chaves gerenciadas pelo cliente para criptografar seus dados, poderá usar sua própria conta de armazenamento (V1 ou V2 de uso geral) para armazenar quaisquer ativos de dados privados que sejam necessários para o runtime do Stream Analytics. Sua conta de armazenamento pode ser criptografada conforme necessário. Nenhum dos seus ativos de dados privados são armazenados permanentemente pela infraestrutura do Stream Analytics.
Essa configuração deve ser definida no momento da criação do trabalho do Stream Analytics e não pode ser modificada durante o ciclo de vida do trabalho. Não é recomendado modificar nem excluir o armazenamento que está sendo usado pelo Stream Analytics. Se você excluir sua conta de armazenamento, excluirá permanentemente todos os ativos de dados privados e isso causará uma falha no trabalho.
Não é possível atualizar nem girar chaves para a sua conta de armazenamento usando o portal do Stream Analytics. É possível atualizar as chaves usando as APIs REST. Também é possível se conectar à conta de armazenamento de trabalho usando a autenticação de identidade gerenciada com a permissão de serviços confiáveis.
Se a conta de armazenamento que você deseja usar estiver em uma Rede Virtual do Azure, será necessário usar o modo de autenticação de identidade gerenciada com Permitir serviços confiáveis. Para saber mais, visite: Conectar trabalhos do Stream Analytics a recursos em uma rede virtual do Azure.
Configurar conta de armazenamento para dados privados
Criptografe sua conta de armazenamento para proteger todos os seus dados e escolher explicitamente o local dos dados privados.
Use as etapas a seguir para configurar sua conta de armazenamento para ativos de dados privados. Essa configuração é feita com o trabalho Stream Analytics, não da conta de armazenamento.
Entre no portal do Azure.
Selecione Criar um recurso no canto superior esquerdo do portal do Azure.
Selecione Analytics>Trabalho do Stream Analytics na lista de resultados.
Preencha a página do trabalho do Stream Analytics com os detalhes necessários, como nome, região e escala.
Marque a caixa de seleção que diz Proteger todos os ativos de dados privados necessários para esse trabalho em minha conta de armazenamento.
Escolha uma conta de armazenamento de sua assinatura. Essa configuração não pode ser modificada durante o ciclo de vida do trabalho. Você também não pode adicionar essa opção após o trabalho ser criado.
Para autenticar com uma cadeia de conexão, selecione Cadeia de conexão na lista suspensa Modo de autenticação. A chave da conta de armazenamento é preenchida automaticamente na assinatura.
Para autenticar com a Identidade Gerenciada, selecione Identidade Gerenciada no menu suspenso Modo de Autenticação. Se você escolher Identidade Gerenciada, precisará adicionar o trabalho do Stream Analytics à lista de controle de acesso da conta de armazenamento com a função Colaborador de Dados do Blob de Armazenamento. Se você não permitir acesso ao trabalho, ele não poderá executar nenhuma operação. Para obter mais informações sobre como permitir acesso, confira Atribuir uma função do Azure para acesso aos dados de blob.
Ativos de dados privados armazenados pelo Stream Analytics
Todos os dados privados que precisam ser persistidos pelo Stream Analytics são armazenados na conta de armazenamento. Exemplos de ativos de dados privados incluem:
Consultas que você criou e configurações relacionadas a elas
Funções definidas pelo usuário
Pontos de verificação necessários para o runtime do Stream Analytics
Instantâneos de dados de referência
Os detalhes de conexão dos seus recursos, usados pelo trabalho do Stream Analytics, também são armazenados. Criptografe sua conta de armazenamento para proteger todos os dados.
Habilitar a Residência de Dados
Use esse recurso para impor quaisquer requisitos de residência de dados que você tenha, fornecendo uma conta de armazenamento de acordo.