Udostępnij za pośrednictwem

Konfigurowanie kluczy zarządzanych przez klienta przez moduł HSM dla systemu plików DBFS przy użyciu witryny Azure Portal

  • Artykuł

Uwaga

Ta funkcja jest dostępna tylko w planie Premium.

Za pomocą witryny Azure Portal możesz skonfigurować własny klucz szyfrowania w celu zaszyfrowania konta magazynu obszaru roboczego. W tym artykule opisano sposób konfigurowania własnego klucza z zarządzanego modułu HSM usługi Azure Key Vault. Aby uzyskać instrukcje dotyczące używania klucza z magazynów usługi Azure Key Vault, zobacz Konfigurowanie kluczy zarządzanych przez klienta dla systemu plików DBFS przy użyciu witryny Azure Portal.

Ważne

Usługa Key Vault musi znajdować się w tej samej dzierżawie platformy Azure co obszar roboczy usługi Azure Databricks.

Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta dla systemu plików DBFS, zobacz Klucze zarządzane przez klienta dla katalogu głównego systemu plików DBFS.

Tworzenie zarządzanego modułu HSM usługi Azure Key Vault i klucza HSM

Możesz użyć istniejącego zarządzanego modułu HSM usługi Azure Key Vault lub utworzyć i aktywować nowy z następujących przewodników Szybki start: aprowizuj i aktywuj zarządzany moduł HSM przy użyciu interfejsu wiersza polecenia platformy Azure. Zarządzany moduł HSM usługi Azure Key Vault musi mieć włączoną ochronę przed przeczyszczeniem .

Aby utworzyć klucz HSM, wykonaj czynności opisane w sekcji Tworzenie klucza HSM.

Przygotowywanie konta magazynu obszaru roboczego

  1. Przejdź do zasobu usługi Azure Databricks w witrynie Azure Portal.

  2. W menu po lewej stronie w obszarze Automatyzacja wybierz pozycję Eksportuj szablon.

  3. Kliknij pozycję Wdróż.

  4. Kliknij pozycję Edytuj szablon, wyszukaj prepareEncryptionciąg i zmodyfikuj magazyn, aby wpisać true . Na przykład:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Kliknij przycisk Zapisz.

  6. Kliknij pozycję Przejrzyj i utwórz , aby wdrożyć zmianę.

  7. Po prawej stronie w obszarze Podstawy kliknij pozycję Widok JSON.

  8. Wyszukaj ciąg storageAccountIdentity, a następnie skopiuj element principalId.

Konfigurowanie przypisania roli zarządzanego modułu HSM

  1. Przejdź do zasobu zarządzanego modułu HSM w witrynie Azure Portal.
  2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Kontrola dostępu oparta na rolach lokalnych.
  3. Kliknij przycisk Dodaj.
  4. W polu Rola wybierz pozycję Zarządzany użytkownik szyfrowania usługi kryptograficznej HSM.
  5. W polu Zakres wybierz pozycję All keys (/).
  6. W polu Podmiot zabezpieczeń wprowadź principalId konto magazynu obszaru roboczego na pasku wyszukiwania. Wybierz wynik.
  7. Kliknij pozycję Utwórz.
  8. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Klucze i wybierz klucz.
  9. W polu Identyfikator klucza skopiuj tekst.

Szyfrowanie konta magazynu obszaru roboczego przy użyciu klucza HSM

  1. Przejdź do zasobu usługi Azure Databricks w witrynie Azure Portal.
  2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Szyfrowanie.
  3. Wybierz pozycję Użyj własnego klucza, wprowadź identyfikator klucza zarządzanego modułu HSM i wybierz subskrypcję zawierającą klucz.
  4. Kliknij przycisk Zapisz , aby zapisać konfigurację klucza.

Ponowne generowanie (obracanie) kluczy

Po wygenerowaniu klucza należy powrócić do strony Szyfrowanie w zasobie usługi Azure Databricks, zaktualizować pole Identyfikator klucza przy użyciu nowego identyfikatora klucza, a następnie kliknąć przycisk Zapisz. Dotyczy to nowych wersji tego samego klucza, a także nowych kluczy.

Ważne

Jeśli usuniesz klucz używany do szyfrowania, nie będzie można uzyskać dostępu do danych w katalogu głównym systemu plików DBFS.