Konfigurace klíčů spravovaných zákazníkem HSM pro spravované disky Azure

Výpočetní úlohy Azure Databricks ve výpočetní rovině ukládají dočasná data na spravovaných discích Azure. Ve výchozím nastavení se data uložená na spravovaných discích šifrují v klidovém stavu pomocí šifrování na straně serveru s klíči spravovanými společností Microsoft. Tento článek popisuje, jak nakonfigurovat klíč spravovaný zákazníkem z HSM služby Azure Key Vault pro váš pracovní prostor Azure Databricks tak, aby se používal pro šifrování spravovaných disků. Pokyny k použití klíče z trezorů služby Azure Key Vault najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro spravované disky Azure.

Důležité

• Klíče spravované zákazníkem pro úložiště spravovaných disků se vztahují na datové disky, ale nevztahují se na disky operačního systému (OS).
• Klíče spravované zákazníkem pro úložiště spravovaných disků se nevztahují na bezserverové výpočetní prostředky, jako jsou bezserverové sklady SQL a obsluha modelů. Disky používané pro bezserverové výpočetní prostředky jsou krátkodobé a svázané s životním cyklem bezserverových úloh. Když jsou výpočetní prostředky zastavené nebo škálované, virtuální počítače a jejich úložiště se zničí.

Požadavky

• Váš pracovní prostor Azure Databricks musí být v plánu Premium.

• Pokud chcete povolit automatické obměně, podporují se pouze klíče RSA-HSM o velikosti 2048 bitů, 3072bitové a 4096bitové verze.

• Pracovní prostory, které odpovídají programu FedRAMP, tuto funkci nepodporují. Další informace získáte od týmu účtu Azure Databricks.

• Pokud chcete k těmto úlohám použít Azure CLI, nainstalujte nástroj Azure CLI a nainstalujte rozšíření Databricks:

  az extension add --name databricks
  

• Pokud chcete pro tyto úlohy použít PowerShell, nainstalujte Azure PowerShell a nainstalujte modul Databricks PowerShell. Musíte se také přihlásit:

  Connect-AzAccount
  

  Pokud se chcete přihlásit ke svému účtu Azure jako uživatel, podívejte se na powershellové přihlášení pomocí uživatelského účtu Azure Databricks. Pokud se chcete přihlásit ke svému účtu Azure jako instanční objekt, podívejte se na powershellové přihlášení pomocí instančního objektu Microsoft Entra ID.

Krok 1: Vytvoření spravovaného HSM služby Azure Key Vault a klíče HSM

Můžete použít existující spravovaný HSM služby Azure Key Vault nebo vytvořit a aktivovat nový po rychlých startech v dokumentaci ke spravovanému HSM. Viz Rychlý start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI. Spravovaný HSM služby Azure Key Vault musí mít povolenou ochranu před vymazáním.

Pokud chcete vytvořit klíč HSM, postupujte podle pokynů k vytvoření klíče HSM.

Krok 2: Zastavení všech výpočetních prostředků

Ukončete všechny výpočetní prostředky (clustery, fondy a služby SQL Warehouse) ve vašem pracovním prostoru.

Krok 3: Vytvořte nebo update pracovní prostor

Pracovní prostor můžete vytvořit nebo update pomocí klíče spravovaného zákazníkem pro spravované disky pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Použití webu Azure Portal

Tato část popisuje, jak pomocí webu Azure Portal vytvořit nebo update pracovního prostoru s klíči spravovanými zákazníkem pro spravované disky.

1. Začněte vytvářet pracovní prostor nebo update:

   Vytvořte nový pracovní prostor s klíčem:

   1. Přejděte na domovskou stránku webu Azure Portal a v levém horním rohu stránky klikněte na Vytvořit prostředek .
   2. Na panelu hledání zadejte Azure Databricks a klikněte na Azure Databricks.
   3. Select Vytvořit z widgetu Azure Databricks.
   4. Zadejte values do polí formuláře na kartách Základy a Sítě.
   5. Na kartě Šifrováníselect zaškrtávací políčko Použít vlastní klíč v části Spravované disky.

   Zpočátku přidejte klíč do existujícího pracovního prostoru:

   1. Přejděte na domovskou stránku webu Azure Portal pro Azure Databricks.
   2. Přejděte do existujícího pracovního prostoru Azure Databricks.
   3. Na levém panelu otevřete kartu Šifrování .
   4. V části Klíče spravované zákazníkem povolte Spravované disky.

2. Set polí šifrování.

   • Do pole Klíč Identifier vložte klíč Identifier spravovaného klíče HSM.
   • V rozevíracím seznamu Předplatné zadejte název předplatného vašeho spravovaného klíče HSM.
   • Pokud chcete povolit automatické obměně klíče, povolte automatické obměně klíče.

3. Dokončete zbývající karty a klikněte na Zkontrolovat a vytvořit (pro nový pracovní prostor) nebo Uložit (pro aktualizaci pracovního prostoru).

4. Po nasazení pracovního prostoru přejděte do nového pracovního prostoru Azure Databricks.

5. Na kartě Přehled pracovního prostoru Azure Databricks klikněte na Spravovaná skupina prostředků.

6. Na kartě Přehled spravované skupiny prostředků vyhledejte objekt typu Šifrování disku Set, který byl vytvořen v této skupině prostředků. Zkopírujte název Disk Encryption Set.

Použití Azure CLI

Pro nové i aktualizované pracovní prostory přidejte do příkazu tyto parameters:

• disk-key-name: Název spravovaného HSM
• disk-key-vault: Identifikátor URI spravovaného HSM
• disk-key-version: Spravovaná verze HSM. Použijte konkrétní verzi klíče, nikoli latest.
• disk-key-auto-rotation: Povolte automatické otáčení klíče (true nebo false). Toto je volitelné pole. Výchozí hodnota je false.

1. Vytvořte nebo zadejte update pracovního prostoru:

   • Příklad vytvoření pracovního prostoru pomocí těchto spravovaných disků parameters:

     az databricks workspace create --name <workspace-name> \
     --resource-group <resource-group-name> \
     --location <location> \
     --sku premium --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   • Příklad aktualizace pracovního prostoru pomocí těchto spravovaných disků parameters:

     az databricks workspace update \
     --name <workspace-name> \
     --resource-group <resource-group-name> \
     --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   Ve výstupu některého z těchto příkazů je managedDiskIdentity objekt. Uložte hodnotu vlastnosti v rámci tohoto objektu principalId . To se použije v pozdějším kroku jako ID objektu zabezpečení.

Použití PowerShellu

Pro nové i aktualizované pracovní prostory přidejte do příkazu tyto parameters:

• location: Umístění pracovního prostoru
• ManagedDiskKeyVaultPropertiesKeyName: Název spravovaného HSM
• ManagedDiskKeyVaultPropertiesKeyVaultUri: Identifikátor URI spravovaného HSM
• ManagedDiskKeyVaultPropertiesKeyVersion: Spravovaná verze HSM. Použijte konkrétní verzi klíče, nikoli latest.
• ManagedDiskRotationToLatestKeyVersionEnabled: Povolte automatické otáčení klíče (true nebo false). Toto je volitelné pole. Výchozí hodnotou je hodnota false.

1. Vytvořte nebo update pracovní prostor:

   • Příklad vytvoření pracovního prostoru pomocí spravovaného disku parameters:

     $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -location <location> \
     -Sku premium \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

   • Příklad aktualizace pracovního prostoru pomocí spravovaného disku parameters:

     $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

Krok 4: Konfigurace přiřazení spravované role HSM

Nakonfigurujte přiřazení role pro spravovaný HSM služby Key Vault, aby k němu váš pracovní prostor Azure Databricks získal oprávnění. Přiřazení role můžete nakonfigurovat pomocí webu Azure Portal, Azure CLI nebo PowerShellu.

Použití portálu Azure Portal

1. Na webu Azure Portal přejděte ke svému prostředku spravovaného HSM.
2. V nabídce vlevo, v části Nastavení, selectLokální RBAC.
3. Klikněte na tlačítko Přidat.
4. V poli RoleselectUživatel šifrování spravované kryptografické služby HSM.
5. V poli Obor zvolte All keys (/).
6. Do pole Objekt zabezpečení zadejte název Set Šifrování disků ve spravované skupině prostředků pracovního prostoru Azure Databricks na panelu hledání. Select výsledek.
7. Klikněte na Vytvořit.

Použití Azure CLI

Nakonfigurujte přiřazení role spravovaného HSM. Nahraďte názvem spravovaného <hsm-name> HSM a nahraďte <principal-id>managedDiskIdentity ID principalId z předchozího kroku.

az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
    --scope "/" --hsm-name <hsm-name>
    --assignee-object-id <principal-id>

Použití Azure PowerShellu

Nahraďte <hsm-name> názvem spravovaného HSM.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId

Krok 5: Zahájení dříve ukončených výpočetních prostředků

1. Ujistěte se, že je pracovní prostor update kompletní. Pokud byl klíč jedinou změnou šablony, obvykle se dokončí za méně než pět minut, jinak může trvat déle.
2. Ručně spusťte všechny výpočetní prostředky, které jste ukončili dříve.

Pokud se některé výpočetní prostředky nepodaří úspěšně spustit, obvykle je to proto, že potřebujete grant šifrování disku set oprávnění pro přístup ke službě Key Vault.

Otočení klíče později

Existují dva typy obměny klíčů v existujícím pracovním prostoru, který už má klíč:

• Automatické otočení: Pokud je rotationToLatestKeyVersionEnabled pro váš pracovní prostor true, šifrování disků set zjistí změnu verze klíče a směřuje k nejnovější verzi klíče.
• Ruční obměně: Pomocí nového klíče můžete update existující pracovní prostor klíče spravovaného zákazníkem spravovaného disku. Postupujte podle výše uvedených pokynů, jako kdybyste původně přidali klíč do existujícího pracovního prostoru.