다음을 통해 공유

Azure 관리 디스크용 HSM 고객 관리형 키 구성

  • 아티클

컴퓨팅 평면의 Azure Databricks 컴퓨팅 워크로드는 Azure 관리 디스크에 임시 데이터를 저장합니다. 기본적으로 관리 디스크에 저장된 데이터는 Microsoft 관리형 키와 함께 서버 측 암호화를 사용하여 미사용 시 암호화됩니다. 이 문서에서는 관리되는 디스크 암호화에 사용할 Azure Databricks 작업 공간에 대해 Azure Key Vault HSM의 고객 관리 키를 구성하는 방법을 설명합니다. Azure Key Vault 중요 보관소에서 키를 사용하는 방법에 대한 지침은 Azure 관리 디스크에 대한 고객 관리형 키 구성을 참조하세요.

Important

  • 관리 디스크 스토리지에 대한 고객 관리형 키는 데이터 디스크에 적용되지만 운영 체제(OS) 디스크에는 적용되지 않습니다.
  • 관리형 디스크 스토리지에 대한 고객 관리 키는 서버리스 SQL Warehouse모델 서비스 제공과 같은 서버리스 컴퓨팅 리소스에는 적용되지 않습니다. 서버리스 컴퓨팅 리소스에 사용되는 디스크는 수명이 짧고 서버리스 워크로드의 수명 주기에 연결되어 있습니다. 컴퓨팅 리소스가 중지되거나 크기 조정되면 VM과 해당 스토리지가 제거됩니다.

요구 사항

1단계: Azure Key Vault 관리형 HSM 및 HSM 키 만들기

기존 Azure Key Vault 관리형 HSM을 사용하거나 관리형 HSM 설명서의 빠른 시작에 따라 새 HSM을 만들고 활성화할 수 있습니다. 빠른 시작: Azure CLI를 사용하여 관리되는 HSM 프로비저닝 및 활성화를 참조하세요 Azure Key Vault 관리형 HSM에는 퍼지 보호가 사용하도록 설정되어 있어야 합니다.

HSM 키를 만들려면 HSM 키 만들기를 따릅니다.

2단계: 모든 컴퓨팅 리소스 중지

작업 영역에서 모든 컴퓨팅 리소스(클러스터, 풀 및 SQL Warehouse)를 종료합니다.

3단계: 작업 영역 만들기 또는 update

Azure Portal, Azure CLI 또는 Azure Powershell을 사용하여 관리 디스크에 대한 고객 관리형 키를 사용하여 작업 영역을 만들거나 update 수 있습니다.

Azure Portal 사용

이 섹션에서는 Azure Portal을 사용하여 관리 디스크에 대한 고객 관리형 키를 사용하여 작업 영역을 만들거나 update 방법에 대해 설명합니다.

  1. 작업 영역을 만들거나 update를 수행하십시오.

    키를 사용하여 새 작업 영역을 만듭니다.

    1. Azure Portal 홈페이지로 이동하여 페이지 왼쪽 상단에 있는 리소스 만들기를 클릭합니다.
    2. 검색 창에서 Azure Databricks를 입력하고 Azure Databricks을 클릭합니다.
    3. Select Azure Databricks 위젯 내에서 만듭니다.
    4. 기본 및 네트워킹탭의 양식 필드에 입력합니다.
    5. 암호화 탭의 Managed Disks 섹션에서 사용자 고유의 키 사용 확인란을 선택하십시오. select

    처음에 기존 작업 영역에 키를 추가합니다.

    1. Azure Databricks에 대한 Azure Portal의 홈페이지로 이동합니다.
    2. 기존 Azure Databricks 작업 영역으로 이동합니다.
    3. 왼쪽 패널에서 암호화 탭을 엽니다.
    4. 고객 관리형 키 섹션에서 Managed Disks를 사용하도록 설정합니다.

  2. Set 암호화 필드를 설정하십시오.

    • 키 Identifier 필드에 관리형 HSM 키의 키 Identifier을 붙여 넣으세요.
    • 구독 드롭다운에서 관리형 HSM 키의 구독 이름을 입력합니다.
    • 키의 자동 회전을 사용하도록 설정하려면 키 자동 회전을 사용하도록 설정합니다.

  3. 나머지 탭을 완료하고 검토 + 만들기(새 작업 영역의 경우) 또는 저장(작업 영역 업데이트의 경우)을 클릭합니다.

  4. 작업 영역이 배포된 후 새 Azure Databricks 작업 영역으로 이동합니다.

  5. Azure Databricks 작업 영역의 개요 탭에서 관리되는 리소스 그룹을 클릭합니다.

  6. 관리되는 리소스 그룹의 개요 탭에서 이 리소스 그룹에서 만든 디스크 암호화 Set 형식의 개체를 찾습니다. 해당 디스크 암호화 Set이름을 복사합니다.

Azure CLI 사용

새로운 작업 공간과 업데이트된 작업 공간 모두에 대해 명령어에 parameters을 추가합니다.

  • disk-key-name: 관리형 HSM 이름
  • disk-key-vault: 관리형 HSM URI
  • disk-key-version: 관리형 HSM 버전입니다. 가 아닌 latest특정 키 버전을 사용합니다.
  • disk-key-auto-rotation: 키(true 또는 false)의 자동 회전을 사용하도록 설정합니다. 이 필드는 선택적 필드입니다. 기본값은 false입니다.

  1. 작업 공간을 만들거나 특정 작업 update을 실행하십시오.

    • 관리 디스크 parameters사용하여 작업 영역을 만드는 예제:

      az databricks workspace create --name <workspace-name> \
--resource-group <resource-group-name> \
--location <location> \
--sku premium --disk-key-name <hsm-name> \
--disk-key-vault <hsm-uri> \
--disk-key-version <hsm-version> \
--disk-key-auto-rotation <true-or-false>

    • 이러한 관리 디스크 parameters사용하여 작업 영역을 업데이트하는 예제:

      az databricks workspace update \
--name <workspace-name> \
--resource-group <resource-group-name> \
--disk-key-name <hsm-name> \
--disk-key-vault <hsm-uri> \
--disk-key-version <hsm-version> \
--disk-key-auto-rotation <true-or-false>

    이러한 명령의 출력에는 managedDiskIdentity 개체가 있습니다. 이 객체 내에 principalId 속성 값을 저장합니다. 이는 이후 단계에서 보안 주체 ID로 사용됩니다.

PowerShell 사용

새로운 작업 공간과 업데이트된 작업 공간 모두에 대해, 이 parameters을 설정에 추가하십시오.

  • location: 작업 영역 위치
  • ManagedDiskKeyVaultPropertiesKeyName: 관리형 HSM 이름
  • ManagedDiskKeyVaultPropertiesKeyVaultUri: 관리형 HSM URI
  • ManagedDiskKeyVaultPropertiesKeyVersion: 관리형 HSM 버전입니다. 가 아닌 latest특정 키 버전을 사용합니다.
  • ManagedDiskRotationToLatestKeyVersionEnabled: 키(true 또는 false)의 자동 회전을 사용하도록 설정합니다. 이 필드는 선택적 필드입니다. 기본값은 false입니다.
  1. 작업 영역을 만들거나 update을(를) 수행하십시오.

    • 관리 디스크 parameters사용하여 작업 영역을 만드는 예제:

      $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-location <location> \
-Sku premium \
-ManagedDiskKeyVaultPropertiesKeyName <key-name> \
-ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
-ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled

    • 관리 디스크 parameters사용하여 작업 영역을 업데이트하는 예제:

      $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-ManagedDiskKeyVaultPropertiesKeyName <key-name> \
-ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
-ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled

4단계: 관리형 HSM 역할 할당 구성하기

Azure Databricks 작업 영역에 액세스할 수 있는 권한이 있도록 Key Vault 관리형 HSM에 대한 역할 할당을 구성합니다. Azure 포털, Azure CLI 또는 powershell을 사용하여 역할 할당을 구성할 수 있습니다.

Azure Portal 사용

  1. Azure 포털에서 관리되는 HSM 리소스로 이동합니다.
  2. 왼쪽 메뉴의 설정아래에서 select로컬 RBAC.
  3. 추가를 클릭합니다.
  4. 역할 필드에서 select관리형 HSM 암호화 서비스 사용자.
  5. 범위 필드에서 All keys (/)를 선택합니다.
  6. 보안 주체 필드에 Azure Databricks 작업 영역의 관리되는 리소스 그룹 내에 있는 디스크 암호화 Set의 이름을 검색 창에서 입력합니다. Select 결과를.
  7. 만들기를 클릭합니다.

Azure CLI 사용

관리형 HSM 역할 할당을 구성합니다. <hsm-name>를 관리형 HSM 이름으로 바꾸고 <principal-id>를 이전 단계의 managedDiskIdentity의 principalId ID로 바꿉니다.

az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
    --scope "/" --hsm-name <hsm-name>
    --assignee-object-id <principal-id>

Azure PowerShell 사용

<hsm-name>를 관리형 HSM 이름으로 바꿉니다.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId

5단계: 이전에 종료된 컴퓨팅 리소스 시작

  1. 작업 영역 update 완료되었는지 확인합니다. 키가 템플릿의 유일한 변경 사항인 경우 일반적으로 5분 이내에 완료됩니다. 그렇지 않으면 더 많은 시간이 걸릴 수 있습니다.
  2. 이전에 종료한 모든 컴퓨팅 리소스를 수동으로 시작합니다.

컴퓨팅 리소스가 성공적으로 시작되지 않는 경우, 일반적으로 이는 Key Vault에 액세스하기 위해 디스크 암호화 set 권한을 grant해야 하기 때문입니다.

나중에 키 회전

기존 작업 영역에는 키가 이미 있는 두 가지 유형의 키 회전이 있습니다.

  • 자동 회전: rotationToLatestKeyVersionEnabled이/가 작업 영역에 대해 true이라면, 디스크 암호화 set은/는 암호 키 버전 변경을 감지하고 최신 암호 키 버전을 가리킵니다.
  • 수동 회전: 기존 관리 디스크 고객 관리형 키 작업 영역을 새 키로 update 수 있습니다. 기존 작업 영역에 키를 처음 추가하는 것처럼 위의 지침을 따릅니다.