Klíče spravované zákazníkem pro Lakebase

Klíče spravované zákazníkem (CMK) umožňují šifrovat neaktivní uložená data projektu LakeBase (uložená data) pomocí klíče, který vaše organizace vlastní a spravuje ve službě správy cloudových klíčů (KMS). Díky tomu má vaše organizace plnou suverenitu nad šifrováním a pomáhá splňovat zákonné požadavky a požadavky na dodržování předpisů: odvolání klíče odvolá veškerý přístup k datům.

Požadavky

Tato část se týká správců pracovního prostoru, kteří chtějí povolit CMK pro Lakebase.

  • Pracovní prostor musí být v plánu Premium.
  • CMK se vztahuje pouze na nové projekty automatického škálování Lakebase vytvořené po zpřístupnění podpory CMK Lakebase ve vaší oblasti. Projekty vytvořené před tímto CMK nepodporují. Zkontrolujte klíče spravované zákazníkem v nastavení projektu a podívejte se na stav libovolného projektu.
  • CMK je k dispozici pouze pro automatické škálování LakeBase. Zřízené instance Lakebase nepodporují CMK.

Povolení CMK pro Lakebase

Správci pracovních prostorů povolí CMK pro Lakebase na úrovni pracovního prostoru, ne pro jednotlivé projekty. Po povolení se každý nový projekt Lakebase v daném pracovním prostoru automaticky zašifruje pomocí vašeho klíče. Stávající projekty nejsou ovlivněny.

Lakebase používá případ použití spravovaných služeb . Tuto možnost vyberte při vytváření konfigurace šifrovacího klíče v konzole účtu.

zdroj Description
Povolení klíčů spravovaných zákazníkem pro spravované služby Průvodce úplným nastavením pomocí Azure Key Vault softwarových klíčů
Povolení klíčů spravovaných zákazníkem HSM pro spravované služby Průvodce úplným nastavením pomocí klíčů HSM v Azure Key Vault.

Kontrola stavu šifrování

Jako uživatel Lakebase nekonfigurujete cmk přímo. Pokud chcete zkontrolovat, jestli je projekt aktuálně šifrovaný pomocí cmk:

  1. Klikněte na ikonu aplikace, přepínač aplikací v pravém horním rohu pracovního prostoru, abyste otevřeli aplikaci Lakebase.
  2. Vyberte project.
  3. Na levém bočním panelu klikněte na Nastavení .
  4. V části Klíče spravované zákazníkem zkontrolujte stavovou kartu.

Karta stavu klíčů spravovaných zákazníkem zobrazující aktivní stav

Na stavové kartě se zobrazí jedna z následujících možností:

Stav Význam
Aktivní Váš projekt je šifrovaný pomocí klíče spravovaného zákazníkem. Není potřeba žádná akce.
Nenakonfigurováno V tomto pracovním prostoru není nakonfigurovaný žádný klíč spravovaný zákazníkem. Pokud vaše organizace vyžaduje CMK, obraťte se na správce pracovního prostoru.
Nepodporováno Tento projekt byl vytvořen před zpřístupněním klíčů spravovaných zákazníkem v této oblasti a není šifrovaný pomocí klíče CMK.
Nedostupný klíč Šifrovací klíč pracovního prostoru spravovaný zákazníkem už není přístupný. Váš projekt není k dispozici. Požádejte správce pracovního prostoru o obnovení přístupu ke službě KmS. Viz odvolání klíče.

Rotace klíčů

Když správce pracovního prostoru vymění klíč v cloudovém KMS, projekty Lakebase to neovlivní. Projekty zůstanou přístupné bez výpadků nebo akcí.

Odvolání klíče

Pokud je klíč spravovaný zákazníkem odvolán, odstraněn nebo jeho oprávnění změněn, aby k němu Azure Databricks už neměl přístup:

  • Všechny projekty Lakebase v pracovním prostoru přestanou být dostupné.
  • Běžící výpočetní instance pro projekty podporované CMK byly zastaveny.
  • Nové projekty nelze vytvořit.
  • V konzole Lakebase se zobrazí banner: Databázové projekty nejsou dostupné kvůli problému s přístupem ke klíči.

Aby mohl správce pracovního prostoru obnovit přístup, musí klíč znovu povolit nebo obnovit jeho oprávnění ve službě Správy klíčů v cloudu. Po opětovném zpřístupnění klíče počkejte, než se změna rozšíří před restartováním výpočetních instancí a přístupem k projektům.

Důležité

Odvolání klíče ovlivňuje všechny prostředky Azure Databricks v pracovním prostoru, které používají klíč spravovaných služeb, nejen projekty Lakebase. Další informace o klíčích spravovaných zákazníkem najdete v tématu Klíče spravované zákazníkem pro šifrování.