Włączanie kluczy zarządzanych przez klienta przez moduł HSM dla usług zarządzanych

Uwaga

Ta funkcja wymaga planu Premium.

W tym artykule opisano sposób konfigurowania własnego klucza z zarządzanego modułu HSM usługi Azure Key Vault. Aby uzyskać instrukcje dotyczące używania klucza z magazynów usługi Azure Key Vault, zobacz Włączanie kluczy zarządzanych przez klienta dla usług zarządzanych.

Wymagania

• Aby użyć interfejsu wiersza polecenia platformy Azure dla tych zadań, zainstaluj narzędzie interfejsu wiersza polecenia platformy Azure i zainstaluj rozszerzenie usługi Databricks:

  az extension add --name databricks
  

• Aby użyć programu PowerShell dla tych zadań, zainstaluj program Azure PowerShell i zainstaluj moduł Programu PowerShell usługi Databricks. Musisz również zalogować się:

  Connect-AzAccount
  

  Aby zalogować się do konta platformy Azure jako użytkownik, zobacz Logowanie programu PowerShell przy użyciu konta użytkownika usługi Azure Databricks. Aby zalogować się do konta platformy Azure jako jednostki usługi, zobacz Logowanie programu PowerShell przy użyciu jednostki usługi Microsoft Entra ID.

Krok 1. Tworzenie zarządzanego modułu HSM usługi Azure Key Vault i klucza HSM

Możesz użyć istniejącego zarządzanego modułu HSM usługi Azure Key Vault lub utworzyć i aktywować nowy, postępując zgodnie z przewodnikami Szybki start w dokumentacji zarządzanego modułu HSM. Zobacz Szybki start: aprowizuj i aktywuj zarządzany moduł HSM przy użyciu interfejsu wiersza polecenia platformy Azure. Zarządzany moduł HSM usługi Azure Key Vault musi mieć włączoną ochronę przed przeczyszczeniem .

Ważne

Usługa Key Vault musi znajdować się w tej samej dzierżawie platformy Azure co obszar roboczy usługi Azure Databricks.

Aby utworzyć klucz HSM, wykonaj czynności opisane w sekcji Tworzenie klucza HSM.

Krok 2. Konfigurowanie przypisania roli zarządzanego modułu HSM

Skonfiguruj przypisanie roli dla zarządzanego modułu HSM usługi Key Vault, aby obszar roboczy usługi Azure Databricks miał uprawnienia dostępu do niego. Przypisanie roli można skonfigurować przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Korzystanie z witryny Azure Portal

1. Przejdź do zasobu zarządzanego modułu HSM w witrynie Azure Portal.
2. W menu po lewej stronie, w obszarze Ustawienia, selectlokalna kontrola dostępu oparta na rolach.
3. Kliknij przycisk Dodaj.
4. W polu rola użytkownik szyfrowania usługi kryptograficznej HSM.
5. W polu zakresu selectAll keys (/).
6. W polu podmiot zabezpieczeń wpisz i przewiń do wyniku aplikacji dla przedsiębiorstw o identyfikatorze aplikacji i .
7. Kliknij pozycję Utwórz.
8. W menu po lewej, w obszarze Ustawienia, selectKlucze i select klucz.
9. W polu klucz Identifier skopiuj tekst.

Interfejs wiersza polecenia platformy Azure

1. Get identyfikator obiektu aplikacji AzureDatabricks w Azure CLI.

   az ad sp show --id "2ff814a6-3304-4ab8-85cb-cd0e6f879c1d" \
                   --query "id" \
                   --output tsv
   

2. Skonfiguruj przypisanie roli zarządzanego modułu HSM. Zastąp <hsm-name> ciąg nazwą zarządzanego modułu HSM i zastąp <object-id> ciąg identyfikatorem AzureDatabricks obiektu aplikacji z poprzedniego kroku.

   az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
       --scope "/" --hsm-name <hsm-name>
       --assignee-object-id <object-id>
   

Korzystanie z programu Azure PowerShell

Zastąp <hsm-name> ciąg nazwą zarządzanego modułu HSM.

Connect-AzureAD
$managedService = Get-AzureADServicePrincipal \
-Filter "appId eq '2ff814a6-3304-4ab8-85cb-cd0e6f879c1d'"

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $managedService.ObjectId

Krok 3. Dodawanie klucza do obszaru roboczego

Obszar roboczy można utworzyć lub update kluczem zarządzanym przez klienta dla usług zarządzanych przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Korzystanie z witryny Azure Portal

1. Przejdź do strony głównej witryny Azure Portal.

2. Kliknij pozycję Utwórz zasób w lewym górnym rogu strony.

3. Na pasku wyszukiwania wpisz Azure Databricks i kliknij opcję Azure Databricks .

4. Kliknij pozycję Utwórz w widżecie usługi Azure Databricks.

5. Wprowadź values do pól wejściowych na kartach Basics i Networking.

6. Po osiągnięciu karty Szyfrowanie :

   • Aby utworzyć obszar roboczy, włącz opcję Użyj własnego klucza w sekcji Usługi zarządzane.
   • Aby zaktualizować obszar roboczy, włącz usługi zarządzane.

7. Set pola szyfrowania.

   

   • W polu klucz Identifier, wklej klucz Identifier zarządzanego HSM.
   • Na liście rozwijanej Subskrypcja wprowadź nazwę subskrypcji klucza usługi Azure Key Vault.

8. Wypełnij pozostałe karty i kliknij pozycję Przejrzyj i utwórz (dla nowego obszaru roboczego) lub Zapisz (w celu zaktualizowania obszaru roboczego).

Korzystanie z interfejsu wiersza polecenia platformy Azure

Utwórz lub update obszar roboczy.

W przypadku tworzenia i updatedodaj następujące pola do polecenia :

• managed-services-key-name: Nazwa zarządzanego modułu HSM
• managed-services-key-vault: Identyfikator URI zarządzanego modułu HSM
• managed-services-key-version: zarządzana wersja modułu HSM. Użyj określonej wersji klucza, a nie latest.

Przykład tworzenia obszaru roboczego przy użyciu następujących pól:

az databricks workspace create --name <workspace-name> \
--resource-group <resource-group-name> \
--location <location> \
--sku premium \
--managed-services-key-name <hsm-name> \
--managed-services-key-vault <hsm-uri> \
--managed-services-key-version <hsm-version>

Przykład update obszaru roboczego przy użyciu następujących pól:

az databricks workspace update --name <workspace-name> \
--resource-group <resource-group-name> \
--managed-services-key-name <hsm-name> \
--managed-services-key-vault <hsm-uri> \
--managed-services-key-version <hsm-version>

Ważne

Jeśli obrócisz klucz, musisz zachować stary klucz dostępny przez 24 godziny.

Korzystanie z programu PowerShell

Aby utworzyć obszar roboczy lub update, dodaj następujące parameters do polecenia dla nowego klucza:

• ManagedServicesKeyVaultPropertiesKeyName: Nazwa zarządzanego modułu HSM
• ManagedServicesKeyVaultPropertiesKeyVaultUri: Identyfikator URI zarządzanego modułu HSM
• ManagedServicesKeyVaultPropertiesKeyVersion: zarządzana wersja modułu HSM. Użyj określonej wersji klucza, a nie latest.

Przykładowe tworzenie obszaru roboczego z następującymi polami:

New-AzDatabricksWorkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-location $keyVault.Location \
-sku premium \
-ManagedServicesKeyVaultPropertiesKeyName $hsm.Name \
-ManagedServicesKeyVaultPropertiesKeyVaultUri $hsm.Uri \
-ManagedServicesKeyVaultPropertiesKeyVersion $hsm.Version

Przykładowy obszar roboczy update z następującymi polami:

Update-AzDatabricksWorkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-sku premium \
-ManagedServicesKeyVaultPropertiesKeyName $hsm.Name \
-ManagedServicesKeyVaultPropertiesKeyVaultUri $hsm.VaultUri \
-ManagedServicesKeyVaultPropertiesKeyVersion $hsm.Version

Ważne

Jeśli obrócisz klucz, musisz zachować stary klucz dostępny przez 24 godziny.

Krok 4 (opcjonalnie): Ponowne importowanie notesów

Po pierwszym dodaniu klucza dla usług zarządzanych dla istniejącego obszaru roboczego tylko przyszłe operacje zapisu używają klucza. Istniejące dane nie są ponownie szyfrowane.

Możesz wyeksportować wszystkie notesy, a następnie zaimportować je ponownie, aby klucz, który szyfruje dane, jest chroniony i kontrolowany przez klucz. Możesz użyć interfejsów API Eksportowanie i importowanie obszaru roboczego.

Obracanie klucza w późniejszym czasie

Jeśli używasz już klucza zarządzanego przez klienta dla usług zarządzanych, możesz update obszar roboczy z nową wersją klucza lub zupełnie nowym kluczem. Jest to nazywane rotacją kluczy.

1. Utwórz nowy klucz lub obróć istniejący klucz w zarządzanym magazynie HSM.

   Upewnij się, że nowy klucz ma odpowiednie uprawnienia.

2. Update połącz obszar roboczy z nowym kluczem za pomocą portalu, interfejsu wiersza polecenia lub programu PowerShell. Zobacz Krok 3, dodaj klucz do obszaru roboczego i postępuj zgodnie z instrukcjami dotyczącymi obszaru roboczego update. Upewnij się, że używasz tego samego values dla nazwy grupy zasobów i nazwy obszaru roboczego, aby zaktualizować istniejący obszar roboczy, zamiast tworzyć nowy obszar roboczy. Poza zmianami w parameterszwiązanymi z kluczami, należy użyć tych samych parameters, które zostały użyte do utworzenia obszaru roboczego.

   Ważne

   Jeśli obrócisz klucz, musisz zachować stary klucz dostępny przez 24 godziny.

3. Opcjonalnie wyeksportuj i ponownie zaimportuj istniejące notesy, aby upewnić się, że wszystkie istniejące notesy używają nowego klucza.