Delen via

Door klant beheerde sleutels configureren voor DBFS met de Azure Portal

  • Artikel

Notitie

Deze functie is alleen beschikbaar in het Premium-abonnement.

U kunt Azure Portal gebruiken om uw eigen versleutelingssleutel te configureren voor het versleutelen van het opslagaccount van de werkruimte. In dit artikel wordt beschreven hoe u uw eigen sleutel configureert vanuit Azure Key Vault-kluizen. Zie HSM door de klant beheerde HSM-sleutels voor DBFS configureren met behulp van Azure Portal voor instructies over het gebruik van een sleutel uit Azure Key Vault Managed HSM.

Zie voor meer informatie over door de klant beheerde sleutels voor DBFS de door de klant beheerde sleutels voor de DBFS-hoofdmap.

Een sleutel maken in Azure Key Vault

In deze sectie wordt beschreven hoe u een sleutel maakt in uw Azure Key Vault. U moet een Key Vault gebruiken die zich in dezelfde Microsoft Entra ID-tenant bevindt als uw werkruimte.

Als u al een bestaande sleutelkluis in dezelfde regio hebt, kunt u de eerste stap in deze procedure overslaan. Houd er echter rekening mee dat wanneer u Azure Portal gebruikt om een door de klant beheerde sleutel toe te wijzen voor DBFS-hoofdversleuteling, het systeem de eigenschappen Voorlopig verwijderen en Niet leegmaken standaard inschakelt voor uw Key Vault. Zie het overzicht van voorlopig verwijderen in Azure Key Vault voor meer informatie over deze eigenschappen.

  1. Maak een Key Vault volgens de instructies in de quickstart: Een sleutel instellen en ophalen uit Azure Key Vault met behulp van Azure Portal.

    De Azure Databricks-werkruimte en de Key Vault moeten zich in dezelfde regio en dezelfde Microsoft Entra ID-tenant bevinden, maar ze kunnen zich in verschillende abonnementen bevinden.

  2. Maak een sleutel in Key Vault en volg de instructies in de quickstart.

    DBFS-hoofdopslag ondersteunt RSA- en RSA-HSM-sleutels van grootte 2048, 3072 en 4096. Zie voor meer informatie over sleutels Meer informatie over sleutels van Key Vault.

  3. Nadat uw sleutel is gemaakt, kopieert en plakt u de sleutel-id in een teksteditor. U hebt deze nodig wanneer u uw sleutel voor Azure Databricks configureert.

Het opslagaccount van de werkruimte versleutelen met behulp van uw sleutel

  1. Ga naar uw Azure Databricks-serviceresource in Azure Portal.

  2. Selecteer Versleuteling in het linkermenu onder Instellingen.

    Versleutelingsoptie voor Azure Databricks

  3. Selecteer Uw eigen sleutel gebruiken, voer de sleutel-id van uw sleutel in en selecteer het abonnement dat de sleutel bevat. Als er geen sleutelversie is opgegeven, wordt de nieuwste versie van uw sleutel gebruikt. Zie het Azure-documentatieartikel over belangrijke versies voor verwante informatie.

    Door de klant beheerde sleutels inschakelen in Azure Portal

  4. Klik op Opslaan om de sleutelconfiguratie op te slaan.

    Notitie

    Alleen gebruikers met de rol Key Vault-inzender of hoger voor de Key Vault kunnen opslaan.

Wanneer de versleuteling is ingeschakeld, schakelt het systeem Voorlopig verwijderen en Opschonen in de Sleutelkluis in, maakt u een beheerde identiteit in de DBFS-hoofdmap en voegt u een toegangsbeleid toe voor deze identiteit in de Key Vault.

Sleutels opnieuw genereren (draaien)

Wanneer u een sleutel opnieuw genereert, moet u terugkeren naar de pagina Versleuteling in uw Azure Databricks-serviceresource, het veld Sleutel-id bijwerken met uw nieuwe sleutel-id en op Opslaan klikken. Dit geldt voor nieuwe versies van dezelfde sleutel en nieuwe sleutels.

Belangrijk

Als u de sleutel verwijdert die wordt gebruikt voor versleuteling, kunnen de gegevens in de DBFS-hoofdmap niet worden geopend. U kunt de Azure Key Vault-API's gebruiken om verwijderde sleutels te herstellen.