Dela via

Konfigurera kundhanterade HSM-nycklar för Azure-hanterade diskar

  • Artikel

Azure Databricks-beräkningsarbetsbelastningar i beräkningsplanet lagrar tillfälliga data på Azure-hanterade diskar. Som standard krypteras data som lagras på hanterade diskar i viloläge med kryptering på serversidan med Microsoft-hanterade nycklar. Den här artikeln beskriver hur du konfigurerar en kundhanterad nyckel från Azure Key Vault HSM för din Azure Databricks-arbetsyta som ska användas för kryptering av hanterade diskar. Anvisningar om hur du använder en nyckel från Azure Key Vault-valv finns i Konfigurera kundhanterade nycklar för Azure-hanterade diskar.

Viktigt!

  • Kundhanterade nycklar för hanterad disklagring gäller för datadiskar, men gäller inte operativsystemdiskar (OS).
  • Kundhanterade nycklar för hanterad disklagring gäller inte för serverlösa beräkningsresurser som serverlösa SQL-lager och modellservering. Diskarna som används för serverlösa beräkningsresurser är kortvariga och knutna till livscykeln för den serverlösa arbetsbelastningen. När beräkningsresurser stoppas eller skalas ned förstörs de virtuella datorerna och deras lagring.

Krav

  • Din Azure Databricks-arbetsyta måste finnas i Premium-planen.

  • Om du vill aktivera automatisk rotation stöds endast RSA-HSM-nycklar med storlekarna 2048-bitars, 3072- och 4096-bitars.

  • Den här funktionen stöds inte för arbetsytor med FedRAMP-efterlevnad. Kontakta ditt Azure Databricks-kontoteam om du vill ha mer information.

  • Om du vill använda Azure CLI för dessa uppgifter installerar du Azure CLI-verktyget och installerar Databricks-tillägget:

    az extension add --name databricks

  • Om du vill använda PowerShell för dessa uppgifter installerar du Azure PowerShell och installerar Databricks Powershell-modulen. Du måste också logga in:

    Connect-AzAccount

    Information om hur du loggar in på ditt Azure-konto som användare finns i PowerShell-inloggning med ett Azure Databricks-användarkonto. Information om hur du loggar in på ditt Azure-konto som tjänstens huvudnamn finns i PowerShell-inloggning med tjänstens huvudnamn för Microsoft Entra-ID.

Steg 1: Skapa en Hanterad HSM för Azure Key Vault och en HSM-nyckel

Du kan använda en befintlig Hanterad HSM för Azure Key Vault eller skapa och aktivera en ny efter snabbstarterna i dokumentationen för Hanterad HSM. Se Snabbstart: Etablera och aktivera en hanterad HSM med Azure CLI. Azure Key Vault Managed HSM måste ha Purge Protection aktiverat.

Om du vill skapa en HSM-nyckel följer du Skapa en HSM-nyckel.

Steg 2: Stoppa alla beräkningsresurser

Avsluta alla beräkningsresurser (kluster, pooler och SQL-lager) på din arbetsyta.

Steg 3: Skapa eller uppdatera en arbetsyta

Du kan skapa eller uppdatera en arbetsyta med en kundhanterad nyckel för hanterade diskar med hjälp av Azure Portal, Azure CLI eller Azure Powershell.

Använd Azure Portal

I det här avsnittet beskrivs hur du använder Azure Portal för att skapa eller uppdatera en arbetsyta med kundhanterade nycklar för hanterade diskar.

  1. Börja skapa eller uppdatera en arbetsyta:

    Skapa en ny arbetsyta med en nyckel:

    1. Gå till startsidan för Azure-portalen och klicka på Skapa en resurs i det övre vänstra hörnet på sidan.
    2. Skriv Azure Databricks i sökfältet och klicka på Azure Databricks.
    3. Välj Skapa inifrån Azure Databricks-widgeten.
    4. Ange värden i formulärfälten på flikarna Grundläggande och Nätverk.
    5. På fliken Kryptering väljer du kryssrutan Använd din egen nyckel i avsnittet Hanterade diskar.

    Lägg först till en nyckel till en befintlig arbetsyta:

    1. Gå till Azure Portal startsida för Azure Databricks.
    2. Gå till din befintliga Azure Databricks-arbetsyta.
    3. Öppna fliken Kryptering från den vänstra panelen.
    4. Under avsnittet Kundhanterade nycklar aktiverar du Hanterade diskar.

  2. Ange krypteringsfälten.

    Visa fält i avsnittet Hanterade diskar på Azure Databricks-bladet

    • I fältet Nyckelidentifierare klistrar du in nyckelidentifieraren för din hanterade HSM-nyckel.
    • I listrutan Prenumeration anger du prenumerationsnamnet för din hanterade HSM-nyckel.
    • Aktivera Automatisk rotation av nyckeln om du vill aktivera automatisk rotation av nyckeln.

  3. Slutför de återstående flikarna och klicka på Granska + Skapa (för ny arbetsyta) eller Spara (för att uppdatera en arbetsyta).

  4. När arbetsytan har distribuerats går du till din nya Azure Databricks-arbetsyta.

  5. På fliken Översikt på din Azure Databricks-arbetsyta klickar du på Hanterad resursgrupp.

  6. På fliken Översikt i den hanterade resursgruppen letar du upp objektet av typen diskkrypteringsuppsättning som skapades i den här resursgruppen. Kopiera namnet på diskkrypteringsuppsättningen.

Använda Azure CLI

För både nya och uppdaterade arbetsytor lägger du till dessa parametrar i kommandot:

  • disk-key-name: Hanterat HSM-namn
  • disk-key-vault: Hanterad HSM-URI
  • disk-key-version: Hanterad HSM-version. Använd den specifika nyckelversionen och inte latest.
  • disk-key-auto-rotation: Aktivera automatisk rotation av nyckeln (true eller false). Det här är ett valfritt fält. Standardvärdet är false.

  1. Skapa eller uppdatera en arbetsyta:

    • Exempel på hur du skapar en arbetsyta med hjälp av dessa hanterade diskparametrar:

      az databricks workspace create --name <workspace-name> \
--resource-group <resource-group-name> \
--location <location> \
--sku premium --disk-key-name <hsm-name> \
--disk-key-vault <hsm-uri> \
--disk-key-version <hsm-version> \
--disk-key-auto-rotation <true-or-false>

    • Exempel på uppdatering av en arbetsyta med hjälp av dessa hanterade diskparametrar:

      az databricks workspace update \
--name <workspace-name> \
--resource-group <resource-group-name> \
--disk-key-name <hsm-name> \
--disk-key-vault <hsm-uri> \
--disk-key-version <hsm-version> \
--disk-key-auto-rotation <true-or-false>

    I utdata från något av dessa kommandon finns det ett managedDiskIdentity objekt. Spara värdet för principalId egenskapen i det här objektet. Det används i ett senare steg som huvudnamns-ID.

Använda PowerShell

För både nya och uppdaterade arbetsytor lägger du till dessa parametrar i kommandot:

  • location: Plats för arbetsyta
  • ManagedDiskKeyVaultPropertiesKeyName: Hanterat HSM-namn
  • ManagedDiskKeyVaultPropertiesKeyVaultUri: Hanterad HSM-URI
  • ManagedDiskKeyVaultPropertiesKeyVersion: Hanterad HSM-version. Använd den specifika nyckelversionen och inte latest.
  • ManagedDiskRotationToLatestKeyVersionEnabled: Aktivera automatisk rotation av nyckeln (true eller false). Det här är ett valfritt fält. Standardvärdet är falskt.
  1. Skapa eller uppdatera en arbetsyta:

    • Exempel på hur du skapar en arbetsyta med hjälp av hanterade diskparametrar:

      $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-location <location> \
-Sku premium \
-ManagedDiskKeyVaultPropertiesKeyName <key-name> \
-ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
-ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled

    • Exempel på uppdatering av en arbetsyta med hjälp av hanterade diskparametrar:

      $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-ManagedDiskKeyVaultPropertiesKeyName <key-name> \
-ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
-ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled

Steg 4: Konfigurera den hanterade HSM-rolltilldelningen

Konfigurera en rolltilldelning för Key Vault Managed HSM så att din Azure Databricks-arbetsyta har behörighet att komma åt den. Du kan konfigurera en rolltilldelning med hjälp av Azure Portal, Azure CLI eller powershell.

Använda Azure Portal

  1. Gå till din hanterade HSM-resurs i Azure Portal.
  2. I den vänstra menyn går du till Inställningar och väljer Lokal RBAC.
  3. Klicka på Lägg till.
  4. I fältet Roll väljer du Hanterad HSM Kryptotjänstkrypteringsanvändare.
  5. I fältet Omfång väljer du All keys (/).
  6. I fältet Säkerhetsobjekt anger du namnet på diskkrypteringsuppsättningen i den hanterade resursgruppen på Din Azure Databricks-arbetsyta i sökfältet. Välj resultatet.
  7. Klicka på Skapa.

Använda Azure CLI

Konfigurera den hanterade HSM-rolltilldelningen. Ersätt <hsm-name> med ditt Managed HSM-namn och ersätt <principal-id> med principalId-ID för managedDiskIdentity från föregående steg.

az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
    --scope "/" --hsm-name <hsm-name>
    --assignee-object-id <principal-id>

Använd Azure Powershell

Ersätt <hsm-name> med det hanterade HSM-namnet.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId

Steg 5: Starta tidigare avslutade beräkningsresurser

  1. Kontrollera att uppdateringen av arbetsytan är klar. Om nyckeln var den enda ändringen i mallen slutförs den vanligtvis på mindre än fem minuter, annars kan det ta längre tid.
  2. Starta alla beräkningsresurser som du avslutade tidigare manuellt.

Om det inte går att starta några beräkningsresurser beror det vanligtvis på att du behöver ge diskkrypteringsuppsättningen behörighet att komma åt ditt Key Vault.

Rotera nyckeln vid ett senare tillfälle

Det finns två typer av nyckelrotationer på en befintlig arbetsyta som redan har en nyckel:

  • Automatisk rotation: Om rotationToLatestKeyVersionEnabled är true för din arbetsyta identifierar diskkrypteringsuppsättningen nyckelversionsändringen och pekar på den senaste nyckelversionen.
  • Manuell rotation: Du kan uppdatera en befintlig kundhanterad nyckelarbetsyta för hanterade diskar med en ny nyckel. Följ anvisningarna ovan som om du ursprungligen lade till en nyckel till en befintlig arbetsyta.