Konfigurace klíčů spravovaných zákazníkem HSM pro spravované disky Azure

Výpočetní úlohy Azure Databricks ve výpočetní rovině ukládají dočasná data na spravovaných discích Azure. Ve výchozím nastavení se data uložená na spravovaných discích šifrují v klidovém stavu pomocí šifrování na straně serveru s klíči spravovanými společností Microsoft. Tento článek popisuje, jak nakonfigurovat klíč spravovaný zákazníkem z HSM služby Azure Key Vault pro váš pracovní prostor Azure Databricks tak, aby se používal pro šifrování spravovaných disků. Pokyny k použití klíče z trezorů služby Azure Key Vault najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro spravované disky Azure.

Důležité

• Klíče spravované zákazníkem pro úložiště spravovaných disků se vztahují na datové disky, ale nevztahují se na disky operačního systému (OS).
• Klíče spravované zákazníkem pro úložiště spravovaných disků se nevztahují na bezserverové výpočetní prostředky, jako jsou bezserverové sklady SQL a obsluha modelů. Disky používané pro bezserverové výpočetní prostředky jsou krátkodobé a svázané s životním cyklem bezserverových úloh. Když jsou výpočetní prostředky zastavené nebo škálované, virtuální počítače a jejich úložiště se zničí.

Požadavky

• Váš pracovní prostor Azure Databricks musí být v plánu Premium.

• Pokud chcete povolit automatické obměně, podporují se pouze klíče RSA-HSM o velikosti 2048 bitů, 3072bitové a 4096bitové verze.

• Pracovní prostory, které odpovídají programu FedRAMP, tuto funkci nepodporují. Další informace získáte od týmu účtu Azure Databricks.

• Pokud chcete k těmto úlohám použít Azure CLI, nainstalujte nástroj Azure CLI a nainstalujte rozšíření Databricks:

  az extension add --name databricks
  

• Pokud chcete pro tyto úlohy použít PowerShell, nainstalujte Azure PowerShell a nainstalujte modul Databricks PowerShell. Musíte se také přihlásit:

  Connect-AzAccount
  

  Pokud se chcete přihlásit ke svému účtu Azure jako uživatel, podívejte se na powershellové přihlášení pomocí uživatelského účtu Azure Databricks. Pokud se chcete přihlásit ke svému účtu Azure jako instanční objekt, podívejte se na powershellové přihlášení pomocí instančního objektu Microsoft Entra ID.

Krok 1: Vytvoření spravovaného HSM služby Azure Key Vault a klíče HSM

Můžete použít existující spravovaný HSM služby Azure Key Vault nebo vytvořit a aktivovat nový po rychlých startech v dokumentaci ke spravovanému HSM. Viz Rychlý start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI. Spravovaný HSM služby Azure Key Vault musí mít povolenou ochranu před vymazáním.

Pokud chcete vytvořit klíč HSM, postupujte podle pokynů k vytvoření klíče HSM.

Krok 2: Zastavení všech výpočetních prostředků

Ukončete všechny výpočetní prostředky (clustery, fondy a služby SQL Warehouse) ve vašem pracovním prostoru.

krok 3: Vytvoření nebo aktualizace pracovního prostoru

Pracovní prostor můžete vytvořit nebo aktualizovat pomocí klíče spravovaného zákazníkem pro spravované disky, pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Použití webu Azure Portal

Tato část popisuje, jak pomocí webu Azure Portal vytvořit nebo aktualizovat pracovní prostor pomocí klíčů spravovaných zákazníkem pro spravované disky.

1. Začněte vytvářet nebo aktualizovat pracovní prostor:

   Vytvořte nový pracovní prostor s klíčem:

   1. Přejděte na domovskou stránku webu Azure Portal a v levém horním rohu stránky klikněte na Vytvořit prostředek .
   2. Na panelu hledání zadejte Azure Databricks a klikněte na Azure Databricks.
   3. Ve widgetu Azure Databricks vyberte Vytvořit.
   4. Zadejte hodnoty do polí formuláře na kartách Základy a Síťování.
   5. Na kartě Šifrování zaškrtněte políčko Použít vlastní klíč v části Spravované disky.

   Zpočátku přidejte klíč do existujícího pracovního prostoru:

   1. Přejděte na domovskou stránku webu Azure Portal pro Azure Databricks.
   2. Přejděte do existujícího pracovního prostoru Azure Databricks.
   3. Na levém panelu otevřete kartu Šifrování .
   4. V části Klíče spravované zákazníkem povolte Spravované disky.

2. Nastavte pole šifrování.

   • Do pole Identifikátor klíče vložte identifikátor klíče spravovaného HSM.
   • V rozevíracím seznamu Předplatné zadejte název předplatného vašeho spravovaného klíče HSM.
   • Pokud chcete povolit automatické obměně klíče, povolte automatické obměně klíče.

3. Dokončete zbývající karty a klikněte na Zkontrolovat a vytvořit (pro nový pracovní prostor) nebo Uložit (pro aktualizaci pracovního prostoru).

4. Po nasazení pracovního prostoru přejděte do nového pracovního prostoru Azure Databricks.

5. Na kartě Přehled pracovního prostoru Azure Databricks klikněte na Spravovaná skupina prostředků.

6. Na kartě Přehled spravované skupiny prostředků hledejte objekt typu Sada pro šifrování disku, který byl vytvořen v této skupině prostředků. Zkopírujte název sady šifrování disku.

Použití Azure CLI

Pro nové i aktualizované pracovní prostory přidejte do příkazu tyto parametry:

• disk-key-name: Název spravovaného HSM
• disk-key-vault: Identifikátor URI spravovaného HSM
• disk-key-version: Spravovaná verze HSM. Použijte konkrétní verzi klíče, nikoli latest.
• disk-key-auto-rotation: Povolte automatické otáčení klíče (true nebo false). Toto je volitelné pole. Výchozí hodnota je false.

1. Vytvoření nebo aktualizace pracovního prostoru:

   • Příklad vytvoření pracovního prostoru pomocí těchto parametrů spravovaného disku:

     az databricks workspace create --name <workspace-name> \
     --resource-group <resource-group-name> \
     --location <location> \
     --sku premium --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   • Příklad aktualizace pracovního prostoru pomocí těchto parametrů spravovaného disku:

     az databricks workspace update \
     --name <workspace-name> \
     --resource-group <resource-group-name> \
     --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   Ve výstupu některého z těchto příkazů je managedDiskIdentity objekt. Uložte hodnotu vlastnosti v rámci tohoto objektu principalId . To se použije v pozdějším kroku jako ID objektu zabezpečení.

Použití PowerShellu

Pro nové i aktualizované pracovní prostory přidejte do příkazu tyto parametry:

• location: Umístění pracovního prostoru
• ManagedDiskKeyVaultPropertiesKeyName: Název spravovaného HSM
• ManagedDiskKeyVaultPropertiesKeyVaultUri: Identifikátor URI spravovaného HSM
• ManagedDiskKeyVaultPropertiesKeyVersion: Spravovaná verze HSM. Použijte konkrétní verzi klíče, nikoli latest.
• ManagedDiskRotationToLatestKeyVersionEnabled: Povolte automatické otáčení klíče (true nebo false). Toto je volitelné pole. Výchozí hodnotou je hodnota false.

1. Vytvoření nebo aktualizace pracovního prostoru:

   • Příklad vytvoření pracovního prostoru pomocí parametrů spravovaného disku:

     $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -location <location> \
     -Sku premium \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

   • Příklad aktualizace pracovního prostoru pomocí parametrů spravovaného disku:

     $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

Krok 4: Konfigurace přiřazení spravované role HSM

Nakonfigurujte přiřazení role pro spravovaný HSM služby Key Vault, aby k němu váš pracovní prostor Azure Databricks získal oprávnění. Přiřazení role můžete nakonfigurovat pomocí webu Azure Portal, Azure CLI nebo PowerShellu.

Použití portálu Azure Portal

1. Na webu Azure Portal přejděte ke svému prostředku spravovaného HSM.
2. V nabídce vlevo, v části Nastavení, vyberte místní RBAC.
3. Klikněte na tlačítko Přidat.
4. V poli role vyberte uživatele šifrování kryptografických služeb spravovaného HSM .
5. V poli Obor zvolte All keys (/).
6. Do pole Objekt zabezpečení zadejte v panelu vyhledávání název sady šifrování disků ve spravované skupině prostředků vašeho pracovního prostoru Azure Databricks. Vyberte výsledek.
7. Klikněte na Vytvořit.

Použití Azure CLI

Nakonfigurujte přiřazení role spravovaného HSM. Nahraďte názvem spravovaného <hsm-name> HSM a nahraďte <principal-id>managedDiskIdentity ID principalId z předchozího kroku.

az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
    --scope "/" --hsm-name <hsm-name>
    --assignee-object-id <principal-id>

Použití Azure PowerShellu

Nahraďte <hsm-name> názvem spravovaného HSM.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId

Krok 5: Zahájení dříve ukončených výpočetních prostředků

1. Ujistěte se, že je aktualizace pracovního prostoru dokončená. Pokud byl klíč jedinou změnou šablony, obvykle se dokončí za méně než pět minut, jinak může trvat déle.
2. Ručně spusťte všechny výpočetní prostředky, které jste ukončili dříve.

Pokud se některé výpočetní prostředky nepodaří úspěšně spustit, obvykle je to proto, že potřebujete udělit oprávnění pro přístup ke službě Key Vault sadě šifrování disku.

Otočení klíče později

Existují dva typy obměny klíčů v existujícím pracovním prostoru, který už má klíč:

• Automatická rotace: Pokud je rotationToLatestKeyVersionEnabledtrue pro váš pracovní prostor, sada šifrování disku detekuje změnu verze klíče a odkazuje na nejnovější verzi klíče.
• Ruční rotace: Můžete aktualizovat existující pracovní prostor s klíči spravovanými zákazníkem spravovaného disku novým klíčem. Postupujte podle výše uvedených pokynů, jako kdybyste původně přidali klíč do existujícího pracovního prostoru.