Configurare chiavi del modulo di protezione hardware gestite dal cliente per dischi gestiti di Azure

I carichi di lavoro di calcolo di Azure Databricks nel piano di calcolo archiviano i dati temporanei nei dischi gestiti di Azure. Per impostazione predefinita, i dati archiviati nei dischi gestiti vengono crittografati inattivi usando la crittografia lato server con chiavi gestite da Microsoft. Questo articolo descrive come configurare una chiave gestita dal cliente dal modulo di protezione hardware di Azure Key Vault per l'area di lavoro di Azure Databricks, da usare per la crittografia del disco gestito. Per istruzioni sull'uso di una chiave dall’insieme di credenziali di Azure Key Vault, si veda Configurare le chiavi gestite dal cliente per i dischi gestiti in Azure.

Importante

• Le chiavi gestite dal cliente per l'archiviazione su disco gestito si applicano ai dischi dati, ma non si applicano ai dischi del sistema operativo.
• Le chiavi gestite dal cliente per l'archiviazione su disco gestito non si applicano alle risorse di calcolo serverless, come i warehouse SQL serverless e la gestione dei modelli. I dischi usati per le risorse di calcolo serverless sono di breve durata e legati al ciclo di vita del carico di lavoro serverless. Quando le risorse di calcolo vengono arrestate o ridimensionate, le VM e le relative risorse di archiviazione vengono eliminate definitivamente.

Requisiti

• Per l'area di lavoro di Azure Databricks deve essere stato selezionato il piano Premium.

• Se si desidera abilitare la rotazione automatica, sono supportate solo chiavi RSA-HSM di dimensioni a 2048 bit, 3072 bit e 4096 bit.

• Questa funzionalità non è supportata per le aree di lavoro con conformità FedRAMP. Per maggiori informazioni, contattare il team dell'account di Azure Databricks.

• Per usare l'interfaccia della riga di comando di Azure per queste attività, installare lo strumento dell'interfaccia della riga di comando di Azure e installare l'estensione Databricks:

  az extension add --name databricks
  

• Per usare PowerShell per queste attività, installare Azure PowerShell e installare il modulo Databricks PowerShell. È anche necessario eseguire l'accesso:

  Connect-AzAccount
  

  Per accedere all'account Azure come utente, vedere Accesso di PowerShell con un account utente di Azure Databricks. Per accedere all'account Azure come entità servizio, si veda Accesso a PowerShell con un'entità servizio Microsoft Entra ID.

Passaggio 1: Creare un HSM gestito da Azure Key Vault e una chiave del modulo di protezione hardware

È possibile usare un modulo di protezione hardware gestito di Azure Key Vault esistente oppure crearne uno nuovo seguendo le guide introduttive nella documentazione per un HSM gestito. Si veda Avvio rapido: Effettuare il provisioning di un modulo di protezione hardware gestito e attivarlo tramite l'interfaccia della riga di comando di Azure. Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva.

Per creare una chiave HSM, seguire le istruzioni contenute in Creare una chiave HSM.

Passaggio 2: Arrestare tutte le risorse di calcolo

Terminare tutte le risorse di calcolo (cluster, pool e warehouse SQL) dell'area di lavoro.

Passaggio 3: Creare o aggiornare un'area di lavoro

È possibile creare o aggiornare un'area di lavoro con una chiave gestita dal cliente per i dischi gestiti usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

Usare il portale di Azure

Questa sezione descrive come usare il portale di Azure per creare o aggiornare un'area di lavoro con chiavi gestite dal cliente per i dischi gestiti dal cliente.

1. Iniziare a creare o aggiornare un'area di lavoro:

   Creare una nuova area di lavoro con una chiave:

   1. Andare alla home page del portale di Azure and fare clic sull'opzione Crea una risorsa in alto a sinistra.
   2. Nella barra di ricerca digitare Azure Databricks e fare clic su Azure Databricks.
   3. Selezionare Crea all'interno del widget di Azure Databricks.
   4. Immettere i valori nei campi modulo nelle schede Basics e Networking.
   5. Nella scheda Crittografia, selezionare la casella di controllo Usa la tua chiave nella sezione Managed Disks.

   Aggiungere una chiave a un'area di lavoro esistente:

   1. Passare alla home page del portale di Azure per Azure Databricks.
   2. Passare all'area di lavoro esistente di Azure Databricks.
   3. Aprire la scheda Crittografia nel riquadro a sinistra.
   4. Nella sezione Chiavi gestite dal cliente abilitare Dischi gestiti.

2. Impostare i campi di crittografia.

   • Nel campo Identificatore di Chiave, incollare l'identificatore della chiave del modulo di protezione hardware gestito.
   • Nell'elenco a discesa Sottoscrizione immettere il nome della sottoscrizione della chiave dell’HSM gestito.
   • Per abilitare la rotazione automatica della chiave, attivare l’opzione Abilita rotazione automatica della chiave.

3. Compilare le schede rimanenti e fare clic su Rivedi + crea (per una nuova area di lavoro) oppure su Salva (per aggiornare un'area di lavoro esistente).

4. Una volta implementata l'area di lavoro, passare alla nuova area di lavoro di Azure Databricks.

5. Nella scheda Panoramica dell'area di lavoro di Azure Databricks fare clic su Gruppo di risorse gestite.

6. Nella scheda Panoramica del gruppo di risorse gestite, cercare l'oggetto di tipo Set di crittografia del disco creato in questo gruppo di risorse. Copia il nome del set di crittografia dei dischi.

Usare l'interfaccia della riga di comando di Azure

Per le aree di lavoro nuove e aggiornate, aggiungere questi parametri al comando:

• disk-key-name: nome del modulo di protezione hardware gestito
• disk-key-vault: URI del modulo di protezione hardware gestito
• disk-key-version: versione del modulo di protezione hardware gestita. Usare la versione della chiave specifica e non latest.
• disk-key-auto-rotation: Abilita la rotazione automatica della chiave (true o false). Questo campo è facoltativo. Il valore predefinito è false.

1. Creare o aggiornare un'area di lavoro:

   • Esempio di creazione di un'area di lavoro usando questi parametri del disco gestito:

     az databricks workspace create --name <workspace-name> \
     --resource-group <resource-group-name> \
     --location <location> \
     --sku premium --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   • Esempio di aggiornamento di un'area di lavoro usando questi parametri del disco gestito:

     az databricks workspace update \
     --name <workspace-name> \
     --resource-group <resource-group-name> \
     --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   Nell'output di uno di questi comandi è presente un oggetto managedDiskIdentity. Salvare il valore della proprietà principalId dell'oggetto. Viene utilizzato in un passaggio successivo come ID entità.

Usare PowerShell

Per le aree di lavoro nuove e aggiornate, aggiungere questi parametri al comando:

• location: Posizione nell'area di lavoro
• ManagedDiskKeyVaultPropertiesKeyName: nome del modulo di protezione hardware gestito
• ManagedDiskKeyVaultPropertiesKeyVaultUri: URI del modulo di protezione hardware gestito
• ManagedDiskKeyVaultPropertiesKeyVersion: versione del modulo di protezione hardware gestita. Usare la versione della chiave specifica e non latest.
• ManagedDiskRotationToLatestKeyVersionEnabled: Abilita la rotazione automatica della chiave (true o false). Questo campo è facoltativo. L'impostazione predefinita è false.

1. Creare o aggiornare un'area di lavoro:

   • Esempio di creazione di un'area di lavoro usando i parametri del disco gestito:

     $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -location <location> \
     -Sku premium \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

   • Esempio di aggiornamento di un'area di lavoro usando i parametri del disco gestito:

     $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

Passaggio 4: Configurare l'assegnazione di ruolo del modulo di protezione hardware gestito

Configurare un'assegnazione di ruolo per il modulo di protezione hardware gestito di Key Vault in modo che l'area di lavoro di Azure Databricks disponga dell'autorizzazione per accedervi. È possibile configurare un’assegnazione di ruolo usando il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell.

Usare il portale di Azure

1. Passare alla risorsa modulo di protezione hardware gestito nel portale di Azure.
2. Nel menu a sinistra, in Impostazioni, selezionare RBAC Locale.
3. Fare clic su Aggiungi.
4. Nel campo ruolo , selezionare utente di crittografia del servizio crittografico HSM gestito.
5. Nel campo Ambito scegliere All keys (/).
6. Nel campo Security principal, immettere il nome del set di crittografia dischi all'interno del gruppo di risorse gestito dell'area di lavoro di Azure Databricks, nella barra di ricerca. Selezionare il risultato.
7. Cliccare su Crea.

Utilizzare l'interfaccia della riga di comando di Azure

Configurare l'assegnazione di ruolo del modulo di protezione hardware gestito Sostituire <hsm-name> con il nome del modulo di protezione hardware gestito e sostituire <principal-id> con l'ID principale di managedDiskIdentity indicata nel passaggio precedente.

az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
    --scope "/" --hsm-name <hsm-name>
    --assignee-object-id <principal-id>

Usare Azure PowerShell

Sostituire <hsm-name> con il nome del modulo di protezione hardware gestito.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId

Passaggio 5: Avviare le risorse di calcolo terminate in precedenza

1. Verificare che l'aggiornamento dell'area di lavoro sia completo. Se la chiave è stata l'unica modifica al modello, questa operazione viene in genere completata in meno di cinque minuti, altrimenti potrebbe richiedere più tempo.
2. Avviare manualmente tutte le risorse di calcolo terminate in precedenza.

Se le risorse di calcolo non vengono avviate correttamente, in genere è necessario concedere al set di crittografia del disco l'autorizzazione per accedere al Key Vault.

Ruotare la chiave in un secondo momento

Esistono due tipi di rotazioni delle chiavi in un'area di lavoro esistente in cui c’è già una chiave:

• Rotazione automatica: se rotationToLatestKeyVersionEnabled è true per l'area di lavoro, il sistema di crittografia del disco rileva un cambiamento nella versione della chiave e si aggiorna alla versione più recente.
• Rotazione manuale: È possibile aggiornare un disco gestito esistente con uno spazio di lavoro dotato di chiave gestita dal cliente, utilizzando una nuova chiave. Seguire le istruzioni riportate in precedenza come per l’aggiunta iniziale di una chiave all'area di lavoro esistente.