Door de klant beheerde HSM-sleutels voor DBFS configureren met behulp van Azure Portal
Notitie
Deze functie is alleen beschikbaar in het Premium-abonnement.
U kunt Azure Portal gebruiken om uw eigen versleutelingssleutel te configureren voor het versleutelen van het opslagaccount van de werkruimte. In dit artikel wordt beschreven hoe u uw eigen sleutel configureert vanuit azure Key Vault Managed HSM. Zie Door de klant beheerde sleutels configureren voor DBFS met behulp van Azure Portal voor instructies over het gebruik van een sleutel uit Azure Key Vault-kluizen.
Belangrijk
De Key Vault moet zich in dezelfde Azure-tenant bevinden als uw Azure Databricks-werkruimte.
Zie voor meer informatie over door de klant beheerde sleutels voor DBFS de door de klant beheerde sleutels voor de DBFS-hoofdmap.
Een door Azure Key Vault beheerde HSM en een HSM-sleutel maken
U kunt een bestaande beheerde HSM van Azure Key Vault gebruiken of een nieuwe quickstart maken en activeren: Een beheerde HSM inrichten en activeren met behulp van Azure CLI. Voor de beheerde HSM van Azure Key Vault moet Purge Protection zijn ingeschakeld.
Als u een HSM-sleutel wilt maken, volgt u Een HSM-sleutel maken.
Het opslagaccount van de werkruimte voorbereiden
Ga naar uw Azure Databricks-serviceresource in Azure Portal.
Selecteer in het linkermenu, onder Automation, Exporttemplate.
Klik op Implementeren.
Klik op Sjabloon bewerken, zoek
prepareEncryption
en wijzig de kluis om tetrue
typen. Voorbeeld:"prepareEncryption": { "type": "Bool", "value": "true" }
Klik op Opslaan.
Klik op Controleren + Maken om de wijziging te implementeren.
Klik aan de rechterkant onder Essentials op JSON-weergave.
storageAccountIdentity
Zoek en kopieer deprincipalId
.
De toewijzing van de beheerde HSM-rol configureren
- Ga naar uw beheerde HSM-resource in Azure Portal.
- Selecteer in het linkermenu, onder Instellingen, Lokale RBAC.
- Klik op Toevoegen.
- Select in het veld Rol de optie Managed HSM Crypto Service Encryption User.
- Selecteer in het veld
All keys (/)
Bereikbereik. - Voer in het veld Beveiligingsprincipaal het
principalId
opslagaccount van de werkruimte in de zoekbalk in. Selecteer het resultaat. - Klik op Create.
- Selecteer in het linkermenu onder InstellingenSleutels en selecteer uw sleutel.
- Kopieer de tekst in het veld Sleutel-id.
Het opslagaccount van de werkruimte versleutelen met behulp van uw HSM-sleutel
- Ga naar uw Azure Databricks-serviceresource in Azure Portal.
- Selecteer in het linkermenu onder InstellingenVersleuteling.
- Selecteer Gebruik uw eigen sleutel, voer de sleutel-id van de beheerde HSM-sleutel inen selecteer het abonnement dat de sleutel bevat.
- Klik op Opslaan om de sleutelconfiguratie op te slaan.
Sleutels opnieuw genereren (draaien)
Wanneer u een sleutel opnieuw genereert, moet u terugkeren naar de pagina Encryption in uw Azure Databricks-serviceresource, het veld sleutel-id bijwerken met uw nieuwe sleutel-id en op Opslaanklikken. Dit geldt voor nieuwe versies van dezelfde sleutel en nieuwe sleutels.
Belangrijk
Als u de sleutel verwijdert die wordt gebruikt voor versleuteling, kunnen de gegevens in de DBFS-hoofdmap niet worden geopend.