Konfigurera kundhanterade HSM-nycklar för Azure-hanterade diskar

Azure Databricks-beräkningsarbetsbelastningar i beräkningsplanet lagrar tillfälliga data på Azure-hanterade diskar. Som standard krypteras data som lagras på hanterade diskar i viloläge med kryptering på serversidan med Microsoft-hanterade nycklar. Den här artikeln beskriver hur du konfigurerar en kundhanterad nyckel från Azure Key Vault HSM för din Azure Databricks-arbetsyta som ska användas för kryptering av hanterade diskar. Anvisningar om hur du använder en nyckel från Azure Key Vault-valv finns i Konfigurera kundhanterade nycklar för Azure-hanterade diskar.

Viktigt!

• Kundhanterade nycklar för hanterad disklagring gäller för datadiskar, men gäller inte operativsystemdiskar (OS).
• Kundhanterade nycklar för hanterad disklagring gäller inte för serverlösa beräkningsresurser som serverlösa SQL-lager och modellservering. Diskarna som används för serverlösa beräkningsresurser är kortvariga och knutna till livscykeln för den serverlösa arbetsbelastningen. När beräkningsresurser stoppas eller skalas ned förstörs de virtuella datorerna och deras lagring.

Krav

• Din Azure Databricks-arbetsyta måste finnas i Premium-planen.

• Om du vill aktivera automatisk rotation stöds endast RSA-HSM-nycklar med storlekarna 2048-bitars, 3072- och 4096-bitars.

• Den här funktionen stöds inte för arbetsytor med FedRAMP-efterlevnad. Kontakta ditt Azure Databricks-kontoteam om du vill ha mer information.

• Om du vill använda Azure CLI för dessa uppgifter installerar du Azure CLI-verktyget och installerar Databricks-tillägget:

  az extension add --name databricks
  

• Om du vill använda PowerShell för dessa uppgifter installerar du Azure PowerShell och installerar Databricks Powershell-modulen. Du måste också logga in:

  Connect-AzAccount
  

  Information om hur du loggar in på ditt Azure-konto som användare finns i PowerShell-inloggning med ett Azure Databricks-användarkonto. Information om hur du loggar in på ditt Azure-konto som tjänstens huvudnamn finns i PowerShell-inloggning med tjänstens huvudnamn för Microsoft Entra-ID.

Steg 1: Skapa en Hanterad HSM för Azure Key Vault och en HSM-nyckel

Du kan använda en befintlig Hanterad HSM för Azure Key Vault eller skapa och aktivera en ny efter snabbstarterna i dokumentationen för Hanterad HSM. Se Snabbstart: Etablera och aktivera en hanterad HSM med Azure CLI. Azure Key Vault Managed HSM måste ha Purge Protection aktiverat.

Om du vill skapa en HSM-nyckel följer du Skapa en HSM-nyckel.

Steg 2: Stoppa alla beräkningsresurser

Avsluta alla beräkningsresurser (kluster, pooler och SQL-lager) på din arbetsyta.

steg 3: Skapa eller update en arbetsyta

Du kan skapa eller update en arbetsyta med en kundhanterad nyckel för hanterade diskar med hjälp av Azure-portalen, Azure CLI eller Azure Powershell.

Använd Azure Portal

I det här avsnittet beskrivs hur du använder Azure-portalen för att skapa eller update en arbetsyta med kundhanterade nycklar för hanterade diskar.

1. Börja skapa eller update en arbetsyta:

   Skapa en ny arbetsyta med en nyckel:

   1. Gå till startsidan för Azure-portalen och klicka på Skapa en resurs i det övre vänstra hörnet på sidan.
   2. Skriv Azure Databricks i sökfältet och klicka på Azure Databricks.
   3. Select Skapa inifrån Azure Databricks-widgeten.
   4. Ange values i formulärfälten på flikarna Grundläggande och Nätverk.
   5. På fliken Krypteringselect kryssrutan Använd din egen nyckel i avsnittet Managed Disks.

   Lägg först till en nyckel till en befintlig arbetsyta:

   1. Gå till Azure Portal startsida för Azure Databricks.
   2. Gå till din befintliga Azure Databricks-arbetsyta.
   3. Öppna fliken Kryptering från den vänstra panelen.
   4. Under avsnittet Kundhanterade nycklar aktiverar du Hanterade diskar.

2. Set krypteringsfälten.

   • I fältet Key Identifier klistrar du in nyckel Identifier för din hanterade HSM-nyckel.
   • I listrutan Prenumeration anger du prenumerationsnamnet för din hanterade HSM-nyckel.
   • Aktivera Automatisk rotation av nyckeln om du vill aktivera automatisk rotation av nyckeln.

3. Slutför de återstående flikarna och klicka på Granska + Skapa (för ny arbetsyta) eller Spara (för att uppdatera en arbetsyta).

4. När arbetsytan har distribuerats går du till din nya Azure Databricks-arbetsyta.

5. På fliken Översikt på din Azure Databricks-arbetsyta klickar du på Hanterad resursgrupp.

6. På fliken Översikt i den hanterade resursgruppen letar du efter objektet av typen diskkryptering Set som skapades i den här resursgruppen. Kopiera namnet på diskkryptering Set.

Använda Azure CLI

För både nya och uppdaterade arbetsytor lägger du till dessa parameters i kommandot:

• disk-key-name: Hanterat HSM-namn
• disk-key-vault: Hanterad HSM-URI
• disk-key-version: Hanterad HSM-version. Använd den specifika nyckelversionen och inte latest.
• disk-key-auto-rotation: Aktivera automatisk rotation av nyckeln (true eller false). Det här är ett valfritt fält. Standardvärdet är false.

1. Skapa eller update en arbetsyta:

   • Exempel på hur du skapar en arbetsyta med hjälp av dessa hanterade diskar parameters:

     az databricks workspace create --name <workspace-name> \
     --resource-group <resource-group-name> \
     --location <location> \
     --sku premium --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   • Exempel på uppdatering av en arbetsyta med hjälp av dessa hanterade diskar parameters:

     az databricks workspace update \
     --name <workspace-name> \
     --resource-group <resource-group-name> \
     --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   I utdata från något av dessa kommandon finns det ett managedDiskIdentity objekt. Spara värdet för principalId egenskapen i det här objektet. Det används i ett senare steg som huvudnamns-ID.

Använda PowerShell

För både nya och uppdaterade arbetsytor lägger du till dessa parameters i kommandot:

• location: Plats för arbetsyta
• ManagedDiskKeyVaultPropertiesKeyName: Hanterat HSM-namn
• ManagedDiskKeyVaultPropertiesKeyVaultUri: Hanterad HSM-URI
• ManagedDiskKeyVaultPropertiesKeyVersion: Hanterad HSM-version. Använd den specifika nyckelversionen och inte latest.
• ManagedDiskRotationToLatestKeyVersionEnabled: Aktivera automatisk rotation av nyckeln (true eller false). Det här är ett valfritt fält. Standardvärdet är falskt.

1. Skapa eller update en arbetsyta:

   • Exempel på hur du skapar en arbetsyta med hjälp av hanterad disk parameters:

     $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -location <location> \
     -Sku premium \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

   • Exempel på uppdatering av en arbetsyta med hjälp av hanterad disk parameters:

     $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

Steg 4: Konfigurera den hanterade HSM-rolltilldelningen

Konfigurera en rolltilldelning för Key Vault Managed HSM så att din Azure Databricks-arbetsyta har behörighet att komma åt den. Du kan konfigurera en rolltilldelning med hjälp av Azure Portal, Azure CLI eller powershell.

Använda Azure Portal

1. Gå till din hanterade HSM-resurs i Azure Portal.
2. I den vänstra menyn, under Inställningar, och selectLokal RBAC.
3. Klicka på Lägg till.
4. I fältet RoleselectManaged HSM Crypto Service Encryption User.
5. I fältet Omfång väljer du All keys (/).
6. I fältet Security Principal anger du namnet på diskkryptering Set i den hanterade resursgruppen på din Azure Databricks-arbetsyta i sökfältet. Select resultatet.
7. Klicka på Skapa.

Använda Azure CLI

Konfigurera den hanterade HSM-rolltilldelningen. Ersätt <hsm-name> med ditt Managed HSM-namn och ersätt <principal-id> med principalId-ID för managedDiskIdentity från föregående steg.

az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
    --scope "/" --hsm-name <hsm-name>
    --assignee-object-id <principal-id>

Använd Azure Powershell

Ersätt <hsm-name> med det hanterade HSM-namnet.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId

Steg 5: Starta tidigare avslutade beräkningsresurser

1. Kontrollera att arbetsytan update är klar. Om nyckeln var den enda ändringen i mallen slutförs den vanligtvis på mindre än fem minuter, annars kan det ta längre tid.
2. Starta alla beräkningsresurser som du avslutade tidigare manuellt.

Om det inte går att starta några beräkningsresurser beror det vanligtvis på att du behöver grant diskkrypteringsbehörighet set för att komma åt ditt nyckelvalv.

Rotera nyckeln vid ett senare tillfälle

Det finns två typer av nyckelrotationer på en befintlig arbetsyta som redan har en nyckel:

• Automatisk rotation: Om rotationToLatestKeyVersionEnabled är true för din arbetsyta identifierar diskkryptering set nyckelversionsändringen och pekar på den senaste nyckelversionen.
• Manuell rotation: Du kan update en befintlig hanterad disk kopplad till en kundhanterad nyckelarbetsyta med en ny nyckel. Följ anvisningarna ovan som om du ursprungligen lade till en nyckel till en befintlig arbetsyta.