Sdílet prostřednictvím

Konfigurace klíčů spravovaných zákazníkem pro kořen DBFS s využitím webu Azure Portal

  • Článek

Poznámka:

Tato funkce je dostupná jenom v plánu Premium.

Pomocí webu Azure Portal můžete nakonfigurovat vlastní šifrovací klíč pro šifrování účtu úložiště pracovního prostoru. Tento článek popisuje, jak nakonfigurovat vlastní klíč z trezorů služby Azure Key Vault. Pokyny k použití klíče ze spravovaného HSM služby Azure Key Vault najdete v tématu Konfigurace klíčů spravovaných zákazníkem HSM pro DBFS pomocí webu Azure Portal.

Další informace o klíčích spravovaných zákazníkem pro DBFS najdete v tématu Klíče spravované zákazníkem pro kořen DBFS.

Vytvoření klíče ve službě Azure Key Vault

Tato část popisuje, jak vytvořit klíč ve službě Azure Key Vault. Musíte použít službu Key Vault, která je ve stejném tenantovi Microsoft Entra ID jako váš pracovní prostor.

Pokud už máte existující službu Key Vault ve stejné oblasti, můžete přeskočit první krok v tomto postupu. Mějte ale na paměti, že když pomocí webu Azure Portal přiřadíte klíč spravovaný zákazníkem pro šifrování kořenového adresáře DBFS, systém ve výchozím nastavení povolí vlastnosti obnovitelného odstranění a nevyprázdnit pro službu Key Vault. Další informace o těchto vlastnostech najdete v přehledu obnovitelného odstranění ve službě Azure Key Vault.

  1. Vytvořte službu Key Vault podle pokynů v rychlém startu: Nastavte a načtěte klíč ze služby Azure Key Vault pomocí webu Azure Portal.

    Pracovní prostor Azure Databricks a Key Vault musí být ve stejné oblasti a stejném tenantovi Microsoft Entra ID, ale můžou být v různých předplatných.

  2. Vytvořte klíč ve službě Key Vault a pokračujte podle pokynů v rychlém startu.

    Kořenové úložiště DBFS podporuje klíče RSA a RSA-HSM velikosti 2048, 3072 a 4096. Další informace o klíčích najdete v tématu Informace o klíčích služby Key Vault.

  3. Po vytvoření klíče zkopírujte a vložte identifikátor klíče do textového editoru. Budete ho potřebovat při konfiguraci klíče pro Azure Databricks.

Šifrování účtu úložiště pracovního prostoru pomocí klíče

  1. Na webu Azure Portal přejděte k prostředku služby Azure Databricks.

  2. V nabídce vlevo v části Nastavení vyberte Šifrování.

    Možnost šifrování pro Azure Databricks

  3. Vyberte Použít vlastní klíč, zadejte identifikátor klíče klíče a vyberte předplatné, které tento klíč obsahuje. Pokud není k dispozici žádná verze klíče, použije se nejnovější verze klíče. Související informace najdete v článku dokumentace k Azure o klíčových verzích.

  4. Kliknutím na Uložit uložte konfiguraci klíče.

    Poznámka:

    Uložit můžou jenom uživatelé s rolí Přispěvatel služby Key Vault nebo vyšší.

Pokud je šifrování povolené, systém povolí ochranu proti obnovitelnému odstranění a vymazání ve službě Key Vault, vytvoří spravovanou identitu v kořenovém adresáři DBFS a přidá zásadu přístupu pro tuto identitu ve službě Key Vault.

Opětovné vygenerování (otočení) klíčů

Při opětovném vygenerování klíče se musíte vrátit na stránku Šifrování v prostředku služby Azure Databricks, aktualizovat pole Identifikátor klíče novým identifikátorem klíče a kliknout na Uložit. To platí pro nové verze stejného klíče i pro nové klíče.

Důležité

Pokud odstraníte klíč, který se používá k šifrování, nebudou k datům v kořenovém adresáři DBFS přístupná. K obnovení odstraněných klíčů můžete použít rozhraní API služby Azure Key Vault.