Compartilhar via

Configurar as chaves HSM Gerenciadas pelo cliente para o DBFS utilizando o portal do Microsoft Azure

  • Artigo

Observação

Esse recurso está disponível somente com o plano Premium.

Você pode usar o portal do Azure para configurar sua própria chave de criptografia e criptografar a conta de armazenamento do workspace. Este artigo descreve como configurar sua própria chave do HSM gerenciado do Azure Key Vault. Para obter instruções sobre como usar uma chave do HSM Gerenciado do Azure Key Vault, consulteConfigurar chaves gerenciadas pelo cliente do HSM para DBFS usando o portal do Azure.

Importante

O Key Vault deve estar no mesmo locatário do Azure que o workspace do Azure Databricks.

Para obter mais informações sobre chaves gerenciadas pelo cliente para DBFS, confira Chaves gerenciadas pelo cliente da raiz do DBFS.

Criar um HSM gerenciado do Azure Key Vault e uma chave HSM

Você pode usar um HSM gerenciado do Azure Key Vault existente ou criar e ativar um novo após o Início Rápido: provisionar e ativar um HSM Gerenciado usando a CLI do Azure. O HSM gerenciado do Azure Key Vault deve ter a Proteção contra Limpeza habilitada.

Para criar uma chave HSM, siga Criar uma chave HSM.

Preparar a conta de armazenamento do workspace

  1. No portal do Azure, acesse o recurso do serviço do Azure Databricks.

  2. No menu esquerdo, em Automação, selecione Exportar modelo.

  3. Clique em Implantar.

  4. Clique em Editar modelo, pesquise por prepareEncryption e modifique o cofre para o tipotrue. Por exemplo:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Clique em Save (Salvar).

  6. Selecione Revisar + Criar para implantar a alteração.

  7. À direita, em Noções Básicas, clique em Modo de Exibição JSON.

  8. Pesquise por storageAccountIdentity e copie o principalId.

Configurar a atribuição de função HSM gerenciado

  1. Vá para o recurso HSM gerenciado no portal do Azure.
  2. No menu esquerdo, em Configurações, selecione RBAC local.
  3. Clique em Adicionar.
  4. No campo Função, selecione Usuário de Criptografia de Serviço de Criptografia HSM Gerenciado.
  5. No campo Escopo, selecione All keys (/).
  6. No campo Entidade de segurança, insira a principalId da conta de armazenamento do workspace na barra de pesquisa. Selecione o resultado.
  7. Clique em Criar.
  8. No menu esquerdo, em Configurações, selecione Teclas e selecione sua chave.
  9. No campo Identificador de chave copie o texto.

Criptografar a conta de armazenamento do workspace usando sua chave HSM

  1. No portal do Azure, acesse o recurso do serviço do Azure Databricks.
  2. No menu esquerdo, em Configurações, selecione Criptografia.
  3. Selecione Usar sua própria chave, insira o Identificador da Chave da chave e selecione a Assinatura que contém a chave.
  4. Clique em Salvar para salvar a configuração da chave.

Regenerar (girar) chaves

Ao regenerar uma chave, você deve retornar à página Criptografia do recurso de serviço do Azure Databricks, atualizar o campo Identificador de Chave com o novo identificador de chave e clicar em Salvar. Isso deve ser feito tanto para as novas versões da mesma chave quanto para as novas chaves.

Importante

Se você excluir a chave que foi usada na criptografia, os dados na raiz do DBFS não poderão ser acessados.