Partilhar via

Configurar chaves gerenciadas pelo cliente do HSM para DBFS usando o portal do Azure

  • Artigo

Nota

Esta funcionalidade está disponível apenas no plano Premium.

Você pode usar o portal do Azure para configurar sua própria chave de criptografia para criptografar a conta de armazenamento do espaço de trabalho. Este artigo descreve como configurar sua própria chave do Azure Key Vault Managed HSM. Para obter instruções sobre como usar uma chave dos cofres do Cofre de Chaves do Azure, consulte Configurar chaves gerenciadas pelo cliente para DBFS usando o portal do Azure.

Importante

O Cofre da Chave deve estar no mesmo locatário do Azure que seu espaço de trabalho do Azure Databricks.

Para obter mais informações sobre chaves gerenciadas pelo cliente para DBFS, consulte Chaves gerenciadas pelo cliente para raiz DBFS.

Criar um HSM gerenciado do Azure Key Vault e uma chave HSM

Você pode usar um HSM gerenciado do Azure Key Vault existente ou criar e ativar um novo a seguir Guia de início rápido: provisionar e ativar um HSM gerenciado usando a CLI do Azure. O HSM Gerenciado do Azure Key Vault deve ter a Proteção contra Limpeza habilitada.

Para criar uma chave HSM, siga Criar uma chave HSM.

Preparar a conta de armazenamento do espaço de trabalho

  1. Vá para o recurso de serviço do Azure Databricks no portal do Azure.

  2. No menu à esquerda, em Automação, selecione Exportar modelo.

  3. Clique em Implementar.

  4. Clique em Editar modelo, procure prepareEncryptione modifique o cofre para true digitar. Por exemplo:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Clique em Guardar.

  6. Clique em Rever + Criar para implementar a alteração.

  7. À direita, em Essentials, clique em Visualização JSON.

  8. storageAccountIdentityProcure e copie o principalIdarquivo .

Configurar a atribuição de função do HSM gerenciado

  1. Vá para seu recurso HSM gerenciado no portal do Azure.
  2. No menu à esquerda, em Configurações, selecione RBAC Local.
  3. Clique em Adicionar.
  4. No campo de Função, selecione Usuário de Criptografia de Serviço de Criptografia HSM Gerenciado.
  5. No campo Escopo, selecione All keys (/).
  6. No campo Entidade de segurança, insira a principalId conta de armazenamento do espaço de trabalho na barra de pesquisa. Selecione o resultado.
  7. Clique em Criar.
  8. No menu à esquerda, em Configurações, selecione Teclas e selecione a sua chave.
  9. No campo Identificador de Chave, copie o texto.

Criptografar a conta de armazenamento do espaço de trabalho usando sua chave HSM

  1. Vá para o recurso de serviço do Azure Databricks no portal do Azure.
  2. No menu à esquerda, em Configurações, selecione Criptografia.
  3. Selecione Usar sua própria chave, insira oIdentificador de Chave da sua chave HSM gerenciada e selecione o de Assinatura que contém a chave.
  4. Clique em Salvar para salvar a configuração da chave.

Regenerar (girar) chaves

Ao regenerar uma chave, deve-se retornar à página de Criptografia no seu recurso de serviço do Azure Databricks, atualizar o campo Identificador de Chave com o novo identificador de chave e clicar em Salvar. Isto aplica-se a novas versões da mesma chave, bem como a novas chaves.

Importante

Se você excluir a chave usada para criptografia, os dados na raiz DBFS não poderão ser acessados.