Door de klant beheerde HSM-sleutels configureren voor door Azure beheerde schijven

Azure Databricks-rekenworkloads in het rekenvlak slaan tijdelijke gegevens op door Azure beheerde schijven op. Standaard worden gegevens die zijn opgeslagen op beheerde schijven versleuteld met behulp van versleuteling aan de serverzijde met door Microsoft beheerde sleutels. In dit artikel wordt beschreven hoe u een door de klant beheerde sleutel configureert vanuit Azure Key Vault HSM voor uw Azure Databricks-werkruimte die moet worden gebruikt voor versleuteling van beheerde schijven. Zie Door de klant beheerde sleutels configureren voor door azure beheerde schijven voor instructies over het gebruik van een sleutel uit Azure Key Vault-kluizen.

Belangrijk

• Door de klant beheerde sleutels voor beheerde schijfopslag zijn van toepassing op gegevensschijven, maar zijn niet van toepassing op besturingssysteemschijven.
• Door de klant beheerde sleutels voor beheerde schijfopslag zijn niet van toepassing op serverloze rekenresources, zoals serverloze SQL-warehouses en Model Serving. Schijven die worden gebruikt voor serverloze rekenresources zijn van korte duur en gekoppeld aan de levenscyclus van de serverloze workload. Wanneer rekenresources worden gestopt of omlaag worden geschaald, worden de VM's en hun opslag vernietigd.

Vereisten

• Uw Azure Databricks-werkruimte moet zich in het Premium-abonnement bevinden.

• Als u automatische rotatie wilt inschakelen, worden alleen RSA-HSM-sleutels van grootten 2048-bits, 3072-bits en 4096-bits ondersteund.

• Deze functie wordt niet ondersteund voor werkruimten met FedRAMP-naleving. Neem contact op met uw Azure Databricks-accountteam voor meer informatie.

• Als u de Azure CLI voor deze taken wilt gebruiken, installeert u het Azure CLI-hulpprogramma en installeert u de Databricks-extensie:

  az extension add --name databricks
  

• Als u PowerShell voor deze taken wilt gebruiken, installeert u Azure PowerShell en installeert u de Databricks Powershell-module. U moet zich ook aanmelden:

  Connect-AzAccount
  

  Als u zich als gebruiker wilt aanmelden bij uw Azure-account, raadpleegt u PowerShell-aanmelding met een Azure Databricks-gebruikersaccount. Als u zich als een service-principal wilt aanmelden bij uw Azure-account, raadpleegt u de PowerShell-aanmelding met een Service-principal van Microsoft Entra ID.

Stap 1: Een door Azure Key Vault beheerde HSM en een HSM-sleutel maken

U kunt een bestaande beheerde HSM van Azure Key Vault gebruiken of een nieuwe maken en activeren volgens de quickstarts in de beheerde HSM-documentatie. Zie quickstart: Een beheerde HSM inrichten en activeren met behulp van Azure CLI. Voor de beheerde HSM van Azure Key Vault moet Purge Protection zijn ingeschakeld.

Als u een HSM-sleutel wilt maken, volgt u Een HSM-sleutel maken.

Stap 2: alle rekenresources stoppen

Beëindig alle rekenresources (clusters, pools en SQL-warehouses) in uw werkruimte.

stap 3: een werkruimte maken of bijwerken

U kunt een werkruimte maken of bijwerken met een door de klant beheerde sleutel voor beheerde schijven, met behulp van Azure Portal, Azure CLI of Azure PowerShell.

Azure Portal gebruiken

In deze sectie wordt beschreven hoe u Azure Portal gebruikt om een werkruimte te maken of bij te werken met door de klant beheerde sleutels voor beheerde schijven.

1. Begin met het maken of bijwerken van een werkruimte:

   Maak een nieuwe werkruimte met een sleutel:

   1. Ga naar de startpagina van Azure Portal en klik op Een resource maken in de linkerbovenhoek van de pagina.
   2. Typ Azure Databricks en klik in de zoekbalk op Azure Databricks.
   3. Selecteer maken vanuit de Azure Databricks-widget.
   4. Voer waarden in de formuliervelden in op de tabbladen Basisbeginselen en Netwerken.
   5. Schakel op het tabblad Versleuteling het selectievakje Uw eigen sleutel gebruiken in de sectie Beheerde schijven in.

   Voeg in eerste instantie een sleutel toe aan een bestaande werkruimte:

   1. Ga naar de startpagina van Azure Portal voor Azure Databricks.
   2. Navigeer naar uw bestaande Azure Databricks-werkruimte.
   3. Open het tabblad Versleuteling vanuit het linkerdeelvenster.
   4. Schakel managed disks in onder de sectie Door de klant beheerde sleutels in.

2. Stel de versleutelingsvelden in.

   • Plak in het veld sleutel-id de sleutel-id van uw beheerde HSM-sleutel.
   • Voer in de vervolgkeuzelijst Abonnement de naam van uw beheerde HSM-sleutel in.
   • Als u automatische rotatie van uw sleutel wilt inschakelen, schakelt u Automatisch draaien van sleutel in.

3. Voltooi de resterende tabbladen en klik op Controleren en maken (voor nieuwe werkruimte) of Opslaan (voor het bijwerken van een werkruimte).

4. Nadat uw werkruimte is geïmplementeerd, gaat u naar uw nieuwe Azure Databricks-werkruimte.

5. Klik op het tabblad Overzicht van uw Azure Databricks-werkruimte op Beheerde resourcegroep.

6. Zoek op het tabblad Overzicht van de beheerde resourcegroep naar het object van het type Schijfversleutelingsset dat in deze resourcegroep is gemaakt. Kopieer de naam van die schijfversleutelingsset.

De Azure CLI gebruiken

Voeg voor zowel nieuwe als bijgewerkte werkruimten deze parameters toe aan uw opdracht:

• disk-key-name: Naam van beheerde HSM
• disk-key-vault: Beheerde HSM-URI
• disk-key-version: beheerde HSM-versie. Gebruik de specifieke sleutelversie en niet latest.
• disk-key-auto-rotation: Schakel automatische rotatie van de sleutel (true of false) in. Dit is een optioneel veld. De standaardwaarde is false.

1. Een werkruimte maken of bijwerken:

   • Voorbeeld van het maken van een werkruimte met behulp van deze parameters voor beheerde schijven:

     az databricks workspace create --name <workspace-name> \
     --resource-group <resource-group-name> \
     --location <location> \
     --sku premium --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   • Voorbeeld van het bijwerken van een werkruimte met behulp van deze parameters voor beheerde schijven:

     az databricks workspace update \
     --name <workspace-name> \
     --resource-group <resource-group-name> \
     --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   In de uitvoer van een van deze opdrachten is er een managedDiskIdentity object. Sla de waarde van de principalId eigenschap in dit object op. Dat wordt in een latere stap gebruikt als principal-id.

PowerShell gebruiken

Voeg voor zowel nieuwe als bijgewerkte werkruimten deze parameters toe aan uw opdracht:

• location: Locatie van werkruimte
• ManagedDiskKeyVaultPropertiesKeyName: Naam van beheerde HSM
• ManagedDiskKeyVaultPropertiesKeyVaultUri: Beheerde HSM-URI
• ManagedDiskKeyVaultPropertiesKeyVersion: beheerde HSM-versie. Gebruik de specifieke sleutelversie en niet latest.
• ManagedDiskRotationToLatestKeyVersionEnabled: Schakel automatische rotatie van de sleutel (true of false) in. Dit is een optioneel veld. De standaardwaarde is onwaar.

1. Een werkruimte maken of bijwerken:

   • Voorbeeld van het maken van een werkruimte met parameters voor beheerde schijven:

     $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -location <location> \
     -Sku premium \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

   • Voorbeeld van het bijwerken van een werkruimte met behulp van parameters voor beheerde schijven:

     $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

Stap 4: De toewijzing van de beheerde HSM-rol configureren

Configureer een roltoewijzing voor de beheerde HSM van Key Vault, zodat uw Azure Databricks-werkruimte gemachtigd is om deze te openen. U kunt een roltoewijzing configureren met behulp van Azure Portal, Azure CLI of PowerShell.

De Azure-portal gebruiken

1. Ga naar uw beheerde HSM-resource in Azure Portal.
2. Selecteer in het linkermenu, onder Instellingen, Lokale RBAC.
3. Klik op Toevoegen.
4. In het veld Role selecteer je Managed HSM Crypto Service Encryption User.
5. Kies in het veld Bereik de optie All keys (/).
6. Voer in het veld Security Principal de naam in van de Schijfversleutelingsset in de beheerde resourcegroep van uw Azure Databricks-werkruimte in de zoekbalk. Selecteer het resultaat.
7. Klik op Create.

Azure CLI gebruiken

Configureer de toewijzing van de beheerde HSM-rol. Vervang door <hsm-name> de naam van uw beheerde HSM en vervang deze door <principal-id> de principalId-id van de managedDiskIdentity vorige stap.

az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
    --scope "/" --hsm-name <hsm-name>
    --assignee-object-id <principal-id>

Azure PowerShell gebruiken

Vervang door <hsm-name> de naam van de beheerde HSM.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId

Stap 5: Eerder beëindigde rekenresources starten

1. Zorg ervoor dat de update van de werkruimte is voltooid. Als de sleutel de enige wijziging in de sjabloon was, wordt dit doorgaans in minder dan vijf minuten voltooid, anders kan het langer duren.
2. Start handmatig alle rekenresources die u eerder hebt beëindigd.

Als rekenresources niet succesvol worden gestart, komt dit meestal doordat u de schijfversleutelingsset toestemming moet geven om toegang te krijgen tot uw Key Vault.

De sleutel op een later tijdstip draaien

Er zijn twee typen sleutelrotaties op een bestaande werkruimte die al een sleutel heeft:

• Automatische rotatie: Als rotationToLatestKeyVersionEnabled gelijk is aan true voor uw werkruimte, detecteert de schijfversleutelingsset een wijziging in de sleutelversie en wijst deze naar de nieuwste sleutelversie.
• Handmatige rotatie: u kunt een bestaande werkruimte voor klantbeheerde sleutels van beheerde schijven bijwerken met een nieuwe sleutel. Volg de bovenstaande instructies alsof u in eerste instantie een sleutel aan een bestaande werkruimte toevoegt.