Condividi tramite

Configurare le chiavi gestite dal cliente del modulo di protezione hardware per DBFS usando il portale di Azure

  • Articolo

Nota

Questa funzionalità è disponibile solo nel piano Premium.

È possibile usare il portale di Azure per configurare la propria chiave di crittografia per crittografare l'account di archiviazione dell'area di lavoro. Questo articolo descrive come configurare la propria chiave dal modulo di protezione hardware gestito di Azure Key Vault. Per istruzioni sull'uso di una chiave da insiemi di credenziali di Azure Key Vault, vedere Configurare chiavi gestite dal cliente per DBFS usando il portale di Azure.

Importante

L'area di lavoro di Azure Databricks e Azure Key Vault devono trovarsi nella stessa area e nello stesso tenant di Microsoft Entra.

Per altre informazioni sulle chiavi gestite dal cliente per DBFS, vedere Chiavi gestite dal cliente per la radice DBFS.

Creare un modulo di protezione hardware gestito di Azure Key Vault e una chiave HSM

È possibile usare un modulo di protezione hardware gestito di Azure Key Vault esistente o crearne uno nuovo e attivarne uno nuovo : Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando l'interfaccia della riga di comando di Azure. Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva.

Per creare una chiave HSM, seguire le istruzioni contenute in Creare una chiave HSM.

Preparare l'account di archiviazione dell'area di lavoro

  1. Passare alla risorsa del servizio Azure Databricks nella portale di Azure.

  2. Nel menu a sinistra, in Automazioneselezionare Esporta modello.

  3. Fare clic su Distribuzione.

  4. Fare clic su Modifica modello, cercare prepareEncryptione modificare l'insieme di credenziali in modo da true digitare. Ad esempio:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Fare clic su Salva.

  6. Fare clic su Rivedi e crea per distribuire la modifica.

  7. A destra, in Informazioni di base fare clic su Visualizzazione JSON.

  8. storageAccountIdentityCercare e copiare .principalId

Configurare l'assegnazione di ruolo modulo di protezione hardware gestito

  1. Passare alla risorsa modulo di protezione hardware gestito nel portale di Azure.
  2. Nel menu a sinistra, in Impostazioni, selezionare Controllo degli accessi in base al ruolo locale.
  3. Fare clic su Aggiungi.
  4. Nel campo Ruolo selezionare Utente Crittografia del Servizio di Crittografia Gestito HSM.
  5. Nel campo Ambito selezionare All keys (/).
  6. Nel campo Entità di sicurezza immettere l'oggetto principalId dell'account di archiviazione dell'area di lavoro nella barra di ricerca. Selezionare il risultato.
  7. Cliccare su Crea.
  8. Nel menu a sinistra, in Impostazioni, selezionare Chiavi e selezionare la chiave.
  9. Nel campo identificatore di chiave , copiare il testo.

Crittografare l'account di archiviazione dell'area di lavoro usando la chiave HSM

  1. Passare alla risorsa del servizio Azure Databricks nella portale di Azure.
  2. Nel menu a sinistra, in Impostazioni selezionare Crittografia.
  3. Selezionare Usa la propria chiave, immettere l'identificatore di chiave del modulo di protezione hardware gestitoe selezionare la sottoscrizione che contiene la chiave.
  4. Fare clic su Salva per salvare la configurazione della chiave.

Rigenerare (ruotare) le chiavi

Quando si rigenera una chiave, è necessario tornare alla pagina crittografia nella risorsa del servizio Azure Databricks, aggiornare il campo identificatore di chiave con il nuovo identificatore di chiave e fare clic su Salva. Questo vale per le nuove versioni della stessa chiave e per le nuove chiavi.

Importante

Se si elimina la chiave usata per la crittografia, non è possibile accedere ai dati nella radice DBFS.