Door de klant beheerde HSM-sleutels configureren voor door Azure beheerde schijven

Azure Databricks-rekenworkloads in het rekenvlak slaan tijdelijke gegevens op door Azure beheerde schijven op. Standaard worden gegevens die zijn opgeslagen op beheerde schijven versleuteld met behulp van versleuteling aan de serverzijde met door Microsoft beheerde sleutels. In dit artikel wordt beschreven hoe u een door de klant beheerde sleutel configureert vanuit Azure Key Vault HSM voor uw Azure Databricks-werkruimte die moet worden gebruikt voor versleuteling van beheerde schijven. Zie Door de klant beheerde sleutels configureren voor door azure beheerde schijven voor instructies over het gebruik van een sleutel uit Azure Key Vault-kluizen.

Belangrijk

• Door de klant beheerde sleutels voor beheerde schijfopslag zijn van toepassing op gegevensschijven, maar zijn niet van toepassing op besturingssysteemschijven.
• Door de klant beheerde sleutels voor beheerde schijfopslag zijn niet van toepassing op serverloze rekenresources, zoals serverloze SQL-warehouses en Model Serving. Schijven die worden gebruikt voor serverloze rekenresources zijn van korte duur en gekoppeld aan de levenscyclus van de serverloze workload. Wanneer rekenresources worden gestopt of omlaag worden geschaald, worden de VM's en hun opslag vernietigd.

Vereisten

• Uw Azure Databricks-werkruimte moet zich in het Premium-abonnement bevinden.

• Als u automatische rotatie wilt inschakelen, worden alleen RSA-HSM-sleutels van grootten 2048-bits, 3072-bits en 4096-bits ondersteund.

• Deze functie wordt niet ondersteund voor werkruimten met FedRAMP-naleving. Neem contact op met uw Azure Databricks-accountteam voor meer informatie.

• Als u de Azure CLI voor deze taken wilt gebruiken, installeert u het Azure CLI-hulpprogramma en installeert u de Databricks-extensie:

  az extension add --name databricks
  

• Als u PowerShell voor deze taken wilt gebruiken, installeert u Azure PowerShell en installeert u de Databricks Powershell-module. U moet zich ook aanmelden:

  Connect-AzAccount
  

  Als u zich als gebruiker wilt aanmelden bij uw Azure-account, raadpleegt u PowerShell-aanmelding met een Azure Databricks-gebruikersaccount. Als u zich als een service-principal wilt aanmelden bij uw Azure-account, raadpleegt u de PowerShell-aanmelding met een Service-principal van Microsoft Entra ID.

Stap 1: Een door Azure Key Vault beheerde HSM en een HSM-sleutel maken

U kunt een bestaande beheerde HSM van Azure Key Vault gebruiken of een nieuwe maken en activeren volgens de quickstarts in de beheerde HSM-documentatie. Zie quickstart: Een beheerde HSM inrichten en activeren met behulp van Azure CLI. Voor de beheerde HSM van Azure Key Vault moet Purge Protection zijn ingeschakeld.

Als u een HSM-sleutel wilt maken, volgt u Een HSM-sleutel maken.

Stap 2: alle rekenresources stoppen

Beëindig alle rekenresources (clusters, pools en SQL-warehouses) in uw werkruimte.

stap 3: een werkruimte maken of update

U kunt een werkruimte maken of update met een door de klant beheerde sleutel voor beheerde schijven, met behulp van de Azure Portal, Azure CLI of Azure PowerShell.

Azure Portal gebruiken

In deze sectie wordt beschreven hoe u de Azure Portal gebruikt om een werkruimte te maken of update met door de klant beheerde sleutels voor beheerde schijven.

1. Begin met het creëren of update van een werkruimte:

   Maak een nieuwe werkruimte met een sleutel:

   1. Ga naar de startpagina van Azure Portal en klik op Een resource maken in de linkerbovenhoek van de pagina.
   2. Typ Azure Databricks en klik in de zoekbalk op Azure Databricks.
   3. Select Maak vanuit de Azure Databricks-widget.
   4. Voer values in de formuliervelden in op de tabbladen Basisbeginselen en Netwerken.
   5. Klik op het tabblad Versleutelingselect het selectievakje Uw eigen sleutel gebruiken in de sectie Beheerde schijven.

   Voeg in eerste instantie een sleutel toe aan een bestaande werkruimte:

   1. Ga naar de startpagina van Azure Portal voor Azure Databricks.
   2. Navigeer naar uw bestaande Azure Databricks-werkruimte.
   3. Open het tabblad Versleuteling vanuit het linkerdeelvenster.
   4. Schakel managed disks in onder de sectie Door de klant beheerde sleutels in.

2. Set de versleutelingsvelden.

   • Plak in het veld Sleutel Identifier de sleutel Identifier van de beheerde HSM-sleutel.
   • Voer in de vervolgkeuzelijst Abonnement de naam van uw beheerde HSM-sleutel in.
   • Als u automatische rotatie van uw sleutel wilt inschakelen, schakelt u Automatisch draaien van sleutel in.

3. Voltooi de resterende tabbladen en klik op Controleren en maken (voor nieuwe werkruimte) of Opslaan (voor het bijwerken van een werkruimte).

4. Nadat uw werkruimte is geïmplementeerd, gaat u naar uw nieuwe Azure Databricks-werkruimte.

5. Klik op het tabblad Overzicht van uw Azure Databricks-werkruimte op Beheerde resourcegroep.

6. Zoek op het tabblad Overzicht van de beheerde resourcegroep naar het object van het type Schijfversleuteling Set dat in deze resourcegroep is gemaakt. Kopieer de naam van die schijfversleuteling Set.

De Azure CLI gebruiken

Voor zowel nieuwe als bijgewerkte werkruimten voegt u deze parameters toe aan uw opdracht:

• disk-key-name: Naam van beheerde HSM
• disk-key-vault: Beheerde HSM-URI
• disk-key-version: beheerde HSM-versie. Gebruik de specifieke sleutelversie en niet latest.
• disk-key-auto-rotation: Schakel automatische rotatie van de sleutel (true of false) in. Dit is een optioneel veld. De standaardwaarde is false.

1. Een werkruimte maken of update:

   • Voorbeeld van het maken van een werkruimte met behulp van deze beheerde schijf parameters:

     az databricks workspace create --name <workspace-name> \
     --resource-group <resource-group-name> \
     --location <location> \
     --sku premium --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   • Voorbeeld van het bijwerken van een werkruimte met behulp van deze beheerde schijf parameters:

     az databricks workspace update \
     --name <workspace-name> \
     --resource-group <resource-group-name> \
     --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   In de uitvoer van een van deze opdrachten is er een managedDiskIdentity object. Sla de waarde van de principalId eigenschap in dit object op. Dat wordt in een latere stap gebruikt als principal-id.

PowerShell gebruiken

Voor zowel nieuwe als bijgewerkte werkruimten voegt u deze parameters toe aan uw opdracht:

• location: Locatie van werkruimte
• ManagedDiskKeyVaultPropertiesKeyName: Naam van beheerde HSM
• ManagedDiskKeyVaultPropertiesKeyVaultUri: Beheerde HSM-URI
• ManagedDiskKeyVaultPropertiesKeyVersion: beheerde HSM-versie. Gebruik de specifieke sleutelversie en niet latest.
• ManagedDiskRotationToLatestKeyVersionEnabled: Schakel automatische rotatie van de sleutel (true of false) in. Dit is een optioneel veld. De standaardwaarde is onwaar.

1. Een werkruimte maken of update uitvoeren:

   • Voorbeeld van het maken van een werkruimte met beheerde schijf parameters:

     $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -location <location> \
     -Sku premium \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

   • Voorbeeld van het bijwerken van een werkruimte met beheerde schijf parameters:

     $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

Stap 4: De toewijzing van de beheerde HSM-rol configureren

Configureer een roltoewijzing voor de beheerde HSM van Key Vault, zodat uw Azure Databricks-werkruimte gemachtigd is om deze te openen. U kunt een roltoewijzing configureren met behulp van Azure Portal, Azure CLI of PowerShell.

De Azure-portal gebruiken

1. Ga naar uw beheerde HSM-resource in Azure Portal.
2. Klik in het linkermenu onder Instellingen, selectLokale RBAC.
3. Klik op Toevoegen.
4. In het veld RolselectManaged HSM Crypto Service Encryption User.
5. Kies in het veld Bereik de optie All keys (/).
6. Voer in het veld Security Principal de naam in van de schijfversleuteling Set binnen de beheerde resourcegroep van uw Azure Databricks-werkruimte in de zoekbalk. Select het resultaat.
7. Klik op Create.

Azure CLI gebruiken

Configureer de toewijzing van de beheerde HSM-rol. Vervang door <hsm-name> de naam van uw beheerde HSM en vervang deze door <principal-id> de principalId-id van de managedDiskIdentity vorige stap.

az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
    --scope "/" --hsm-name <hsm-name>
    --assignee-object-id <principal-id>

Azure PowerShell gebruiken

Vervang door <hsm-name> de naam van de beheerde HSM.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId

Stap 5: Eerder beëindigde rekenresources starten

1. Zorg ervoor dat de werkruimte update is voltooid. Als de sleutel de enige wijziging in de sjabloon was, wordt dit doorgaans in minder dan vijf minuten voltooid, anders kan het langer duren.
2. Start handmatig alle rekenresources die u eerder hebt beëindigd.

Als rekenresources niet kunnen worden gestart, komt dit meestal doordat u de schijfversleuteling moet grantset machtiging voor toegang tot uw Key Vault.

De sleutel op een later tijdstip draaien

Er zijn twee typen sleutelrotaties op een bestaande werkruimte die al een sleutel heeft:

• Automatische rotatie: als rotationToLatestKeyVersionEnabled is true voor uw werkruimte, detecteert de schijfversleuteling set de wijziging van de sleutelversie en verwijst naar de meest recente sleutelversie.
• Handmatige rotatie: u kunt een bestaande werkruimte met door de klant beheerde sleutels van een beheerde schijf update met een nieuwe sleutel. Volg de bovenstaande instructies alsof u in eerste instantie een sleutel aan een bestaande werkruimte toevoegt.