Sdílet prostřednictvím

Konfigurace klíčů spravovaných zákazníkem HSM pro DBFS pomocí webu Azure Portal

  • Článek

Poznámka:

Tato funkce je dostupná jenom v plánu Premium.

Pomocí webu Azure Portal můžete nakonfigurovat vlastní šifrovací klíč pro šifrování účtu úložiště pracovního prostoru. Tento článek popisuje, jak nakonfigurovat vlastní klíč ze spravovaného HSM služby Azure Key Vault. Pokyny k použití klíče z trezorů služby Azure Key Vault najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro DBFS pomocí webu Azure Portal.

Důležité

Key Vault musí být ve stejném tenantovi Azure jako váš pracovní prostor Azure Databricks.

Další informace o klíčích spravovaných zákazníkem pro DBFS najdete v tématu Klíče spravované zákazníkem pro kořen DBFS.

Vytvoření spravovaného HSM služby Azure Key Vault a klíče HSM

Můžete použít existující spravovaný HSM služby Azure Key Vault nebo vytvořit a aktivovat nový rychlý start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI. Spravovaný HSM služby Azure Key Vault musí mít povolenou ochranu před vymazáním.

Pokud chcete vytvořit klíč HSM, postupujte podle pokynů k vytvoření klíče HSM.

Příprava účtu úložiště pracovního prostoru

  1. Na webu Azure Portal přejděte k prostředku služby Azure Databricks.

  2. V nabídce vlevo v části Automatizace vyberte Exportovat šablonu.

  3. Klikněte na Deploy (Nasadit).

  4. Klepněte na tlačítko Upravit šablonu, vyhledejte prepareEncryptiona upravte trezor tak, aby typ true . Příklad:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Klikněte na Uložit.

  6. Kliknutím na Zkontrolovat a vytvořit změnu nasadíte.

  7. Vpravo v části Základy klikněte na Zobrazení JSON.

  8. Vyhledejte storageAccountIdentitya zkopírujte .principalId

Konfigurace přiřazení role spravovaného HSM

  1. Na webu Azure Portal přejděte ke svému prostředku spravovaného HSM.
  2. V nabídce vlevo v části Nastavení vyberte Místní řízení přístupu na základě role.
  3. Klikněte na tlačítko Přidat.
  4. V poli Role vyberte spravovaného uživatele šifrování kryptografických služeb HSM.
  5. V poli Obor vyberte All keys (/).
  6. Do pole Objekt zabezpečení zadejte principalId do vyhledávacího panelu účet úložiště pracovního prostoru. Vyberte výsledek.
  7. Klikněte na Vytvořit.
  8. V nabídce vlevo v části Nastavení vyberte Klíče a vyberte svůj klíč.
  9. V poli Identifikátor klíče zkopírujte text.

Šifrování účtu úložiště pracovního prostoru pomocí klíče HSM

  1. Na webu Azure Portal přejděte k prostředku služby Azure Databricks.
  2. V nabídce vlevo v části Nastavení vyberte Šifrování.
  3. Vyberte Použít vlastní klíč, zadejte identifikátor klíče spravovaného HSM a vyberte předplatné, které tento klíč obsahuje.
  4. Kliknutím na Uložit uložte konfiguraci klíče.

Opětovné vygenerování (otočení) klíčů

Při opětovném vygenerování klíče se musíte vrátit na stránku Šifrování v prostředku služby Azure Databricks, aktualizovat pole Identifikátor klíče novým identifikátorem klíče a kliknout na Uložit. To platí pro nové verze stejného klíče i pro nové klíče.

Důležité

Pokud odstraníte klíč, který se používá k šifrování, nebudou k datům v kořenovém adresáři DBFS přístupná.