Compartilhar via

Configurar chaves gerenciadas pelo cliente para o DBFS usando o portal do Azure

  • Artigo

Observação

Esse recurso está disponível somente com o plano Premium.

Você pode usar o portal do Azure para configurar sua própria chave de criptografia e criptografar a conta de armazenamento do workspace. Este artigo descreve como configurar sua própria chave de cofres do Azure Key Vault. Para obter instruções sobre como usar uma chave do HSM Gerenciado do Azure Key Vault, confira Configurar chaves gerenciadas pelo cliente do HSM para DBFS usando o portal do Azure.

Para obter mais informações sobre chaves gerenciadas pelo cliente para DBFS, confira Chaves gerenciadas pelo cliente da raiz do DBFS.

Criar uma chave no Azure Key Vault

Esta seção descreve como criar uma chave no seu Azure Key Vault. Você deve usar um Key Vault que esteja no mesmo locatário da ID do Microsoft Entra que seu workspace.

Se já tiver um Key Vault existente na mesma região, você poderá ignorar a primeira etapa desse procedimento. No entanto, lembre-se de que quando você usa o portal do Azure para atribuir uma chave gerenciada pelo cliente para criptografia da raiz do DBFS, o sistema habilita as propriedades Exclusão Temporária e Não Limpar por padrão para o seu cofre de chaves. Para obter mais informações sobre essas propriedades, confira Visão geral da exclusão temporária do Azure Key Vault.

  1. Crie um cofre de chaves seguindo as instruções em Início Rápido: definir e recuperar uma chave do Azure Key Vault usando o portal do Azure.

    O workspace do Azure Databricks e o cofre de chaves precisam estar na mesma região e no mesmo locatário que o Microsoft Entra ID, mas podem estar em assinaturas diferentes.

  2. Crie uma chave no Key Vault, continuando a seguir as instruções no guia de Início Rápido.

    O armazenamento raiz do DBFS e dá suporte às chaves RSA e RSA-HSM de tamanhos 2048, 3072 e 4096. Para obter mais informações sobre chaves, confira Sobre chaves do Key Vault.

  3. Depois que a chave for criada, copie e cole o identificador da chave em um editor de texto. Você precisará dela para configurar sua chave do Azure Databricks.

Criptografar a conta de armazenamento do workspace usando sua chave

  1. No portal do Azure, acesse o recurso do serviço do Azure Databricks.

  2. No menu esquerdo, em Configurações, selecione Criptografia.

    Opção de criptografia para o Azure Databricks

  3. Selecione Usar sua própria chave, insira o Identificador de Chave da chave e selecione a Assinatura que contém a chave. Se nenhuma versão de chave for fornecida, a versão mais recente da chave será usada. Para obter informações relacionadas, consulte o artigo de documentação do Azure sobre versões de chave.

  4. Clique em Salvar para salvar a configuração da chave.

    Observação

    Somente os usuários com a função colaborador ou superior no Key Vault podem salvar uma chave.

Quando a criptografia está habilitada, o sistema habilita a exclusão temporária e a proteção contra limpeza no Key Vault, cria uma identidade gerenciada na raiz do DBFS e adiciona uma política de acesso para essa identidade no Key Vault.

Regenerar (girar) chaves

Ao regenerar uma chave, você deve retornar à página Criptografia do recurso de serviço do Azure Databricks, atualizar o campo Identificador de Chave com o novo identificador de chave e clicar em Salvar. Isso deve ser feito tanto para as novas versões da mesma chave quanto para as novas chaves.

Importante

Se você excluir a chave usada na criptografia, os dados na raiz do DBFS não poderão ser acessados. Você pode usar as APIs do Azure Key Vault para recuperar chaves excluídas.