Teilen über

Leitfaden für die Verwendung von HDFS-Verschlüsselungszonen in SQL Server-Big Data-Clustern

  • Artikel

Gilt für: SQL Server 2019 (15.x)

Wichtig

Das Microsoft SQL Server 2019-Big Data-Cluster-Add-On wird eingestellt. Der Support für SQL Server 2019-Big Data-Clusters endet am 28. Februar 2025. Alle vorhandenen Benutzer*innen von SQL Server 2019 mit Software Assurance werden auf der Plattform vollständig unterstützt, und die Software wird bis zu diesem Zeitpunkt weiterhin über kumulative SQL Server-Updates verwaltet. Weitere Informationen finden Sie im Ankündigungsblogbeitrag und unter Big Data-Optionen auf der Microsoft SQL Server-Plattform.

In diesem Artikel wird gezeigt, wie Sie Verschlüsselungsfunktionen für ruhende Daten von SQL Server Big Data-Clustern verwenden, um HDFS-Ordner mithilfe von Verschlüsselungszonen zu verschlüsseln. Darüber hinaus werden Aufgaben der HDFS-Schlüsselverwaltung behandelt.

Sie können die Standardverschlüsselungszone unter /securelake verwenden. Sie wurde mit einem vom System generierten 256-Bit-Schlüssel namens securelakekey erstellt. Mit diesem Schlüssel können Sie andere Verschlüsselungszonen erstellen.

Voraussetzungen

Erstellen einer Verschlüsselungszone mithilfe des bereitgestellten, systemseitig verwalteten Schlüssels

  1. Erstellen Sie Ihren HDFS-Ordner mit dem folgenden azdata-Befehl:

    azdata bdc hdfs mkdir --path /user/zone/folder

  2. Geben Sie den Befehl zum Erstellen der Verschlüsselungszone aus, um den Ordner mit dem Schlüssel securelakekey zu verschlüsseln.

    azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey

Verwalten von Verschlüsselungszonen bei Verwendung externer Anbieter

Weitere Informationen zur Verwendung von Schlüsselversionen in SQL Server-Big Data-Clustern für die Verschlüsselung ruhender Daten finden Sie ein End-to-End-Beispiel für die Verwaltung von Verschlüsselungszonen bei Verwendung externer Schlüsselanbieter unter Rotation des Hauptschlüssels für HDFS.

Erstellen eines benutzerdefinierten neuen Schlüssels und einer Verschlüsselungszone

  1. Verwenden Sie folgendes Muster, um einen 256-Bit-Schlüssel zu erstellen.

    azdata bdc hdfs key create --name mydatalakekey

  2. Erstellen und verschlüsseln Sie einen neuen HDFS-Pfad mithilfe des Benutzerschlüssels.

    azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey

HDFS-Schlüsselrotation und Neuverschlüsselung von Verschlüsselungszonen

  1. Bei dieser Vorgehensweise wird eine neue Version von securelakekey mit neuem Schlüsselmaterial erstellt.

    azdata hdfs bdc key roll --name securelakekey

  2. Verschlüsseln Sie die mit dem oben genannten Schlüssel verknüpfte Verschlüsselungszone neu.

    azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start

Überwachung von HDFS-Schlüssel und Verschlüsselungszone

  • Um den Status der Neuverschlüsselung einer Verschlüsselungszone zu überwachen, verwenden Sie diesen Befehl:

    azdata bdc hdfs encryption-zone status

  • Um die Verschlüsselungsinformationen für eine Datei in einer Verschlüsselungszone abzurufen, verwenden Sie diesen Befehl:

    azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv

  • Verwenden Sie diesen Befehl, um alle Verschlüsselungszonen aufzulisten:

    azdata bdc hdfs encryption-zone list

  • Verwenden Sie diesen Befehl, um alle verfügbaren Schlüssel für HDFS aufzulisten:

    azdata bdc hdfs key list

  • Verwenden Sie diesen Befehl, um einen benutzerdefinierten Schlüssel für die HDFS-Verschlüsselung zu erstellen:

    azdata hdfs key create --name key1 --size 256

    Mögliche Größen sind 128, 192 und 256. Der Standardwert ist 256.

Nächste Schritte

Informationen zur Verwendung von azdata mit Big Data-Clustern finden Sie in der Einführung in Big Data-Cluster für SQL Server 2019.

Informationen zur Verwendung eines externen Schlüsselanbieters für die Verschlüsselung ruhender Daten finden Sie unter Externe Schlüsselanbieter in Big Data-Cluster für SQL Server.