Condividi tramite

Guida all'uso delle zone di crittografia HDFS nei cluster Big Data di SQL Server

  • Articolo

Si applica a: SQL Server 2019 (15.x)

Importante

Il componente aggiuntivo per i cluster Big Data di Microsoft SQL Server 2019 verrà ritirato. Il supporto per i cluster Big Data di SQL Server 2019 terminerà il 28 febbraio 2025. Tutti gli utenti esistenti di SQL Server 2019 con Software Assurance saranno completamente supportati nella piattaforma e fino a quel momento il software continuerà a ricevere aggiornamenti cumulativi di SQL Server. Per altre informazioni, vedere il post di blog relativo all'annuncio e Opzioni per i Big Data nella piattaforma Microsoft SQL Server.

In questo articolo viene indicato come usare le funzionalità di crittografia dei dati inattivi dei cluster Big Data di SQL Server per crittografare le cartelle HDFS tramite le zone di crittografia. Vengono inoltre descritte le attività di gestione delle chiavi HDFS.

Una zona di crittografia predefinita, in /securelake, è pronta per essere usata. È stata creata con una chiave a 256 bit generata dal sistema denominata securelakekey. Questa chiave può essere usata per creare altre zone di crittografia.

Prerequisiti

Creare una zona di crittografia usando la chiave gestita e fornita dal sistema

  1. Creare la cartella HDFS usando questo comando azdata:

    azdata bdc hdfs mkdir --path /user/zone/folder

  2. Eseguire il comando di creazione della zona di crittografia per crittografare la cartella usando la chiave securelakekey.

    azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey

Gestire le zone di crittografia quando si usano provider esterni

Per altre informazioni su come vengono usate le versioni delle chiavi nella funzione di crittografia dei dati inattivi dei cluster Big Data di SQL Server, vedere Rotazione della chiave principale per HDFS, in cui è disponibile un esempio end-to-end su come gestire le zone di crittografia quando si usano provider di chiavi esterne.

Creare una chiave e una zona di crittografia nuove

  1. Usare il modello seguente per creare una chiave a 256 bit.

    azdata bdc hdfs key create --name mydatalakekey

  2. Creare e crittografare un nuovo percorso HDFS usando la chiave utente.

    azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey

Rotazione della chiave HDFS e riesecuzione della crittografia della zona di crittografia

  1. Questo approccio prevede la creazione di una nuova versione di securelakekey con nuovo materiale per la chiave.

    azdata hdfs bdc key roll --name securelakekey

  2. Rieseguire la crittografia della zona di crittografia associata alla chiave precedente.

    azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start

Monitoraggio della zona di crittografia e della chiave HDFS

  • Per monitorare lo stato della riesecuzione della crittografia di una zona di crittografia, usare questo comando:

    azdata bdc hdfs encryption-zone status

  • Per ottenere le informazioni relative alla crittografia di un file in una zona di crittografia, usare questo comando:

    azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv

  • Per generare un elenco di tutte le zone di crittografia, usare questo comando:

    azdata bdc hdfs encryption-zone list

  • Per generare un elenco di tutte le chiavi disponibili per HDFS, usare questo comando:

    azdata bdc hdfs key list

  • Per creare una chiave personalizzata per la crittografia HDFS, usare questo comando:

    azdata hdfs key create --name key1 --size 256

    Le dimensioni possibili sono 128, 192 256. L'impostazione predefinita è 256.

Passaggi successivi

Usare azdata con i cluster Big Data. Vedere Introduzione ai cluster Big Data di SQL Server 2019.

Per usare un provider di chiavi esterne per la crittografia dei dati inattivi, vedere Provider di chiavi esterne in cluster Big Data di SQL Server.