Configuración de claves administradas por el cliente de HSM para DBFS mediante Azure Portal

  • Artículo

Nota:

Esta característica solo está disponible en el Plan Premium.

Puede usar Azure Portal para configurar su propia clave de cifrado para cifrar la cuenta de almacenamiento raíz de DBFS. En este artículo se describe cómo configurar su propia clave desde HSM administrado de Azure Key Vault. Para obtener instrucciones sobre cómo utilizar una clave de los almacenes de Azure Key Vault, consulte Configuración de claves administradas por el cliente para DBFS con Azure Portal.

Importante

La instancia de Key Vault debe estar en el mismo inquilino de Azure que el área de trabajo de Azure Databricks.

Para más información sobre las claves administradas por el cliente para DBFS, consulte Claves administradas por el cliente para la raíz de DBFS.

Crear un HSM administrado de Azure Key Vault y una clave HSM

Puede usar un HSM administrado de Azure Key Vault existente o crear y activar uno nuevo con el Inicio rápido: Aprovisionamiento y activación de un HSM administrado mediante la CLI de Azure. El HSM administrado de Azure Key Vault debe tener habilitada la protección de purga.

Para crear una clave HSM, siga Crear una clave HSM.

Preparar la cuenta de almacenamiento raíz de DBFS

  1. En Azure Portal, vaya al recurso de servicio de Azure Databricks.

  2. En el menú de la izquierda, en Automatización, seleccione Exportar plantilla.

  3. Haga clic en Implementar.

  4. Haga clic en Editar plantilla, busque prepareEncryption y modifique el almacén para escribir true. Por ejemplo:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Haga clic en Save(Guardar).

  6. Haga clic en Revisar y crear para implementar el servicio.

  7. A la derecha, en Essentials, haga clic en Vista JSON.

  8. Busque por storageAccountIdentity y copie el principalId.

Configure la asignación de roles de HSM administrado

  1. Vaya a su recurso HSM administrado en Azure Portal.
  2. En el menú de la izquierda, en Configuración, seleccione RBAC local.
  3. Haga clic en Agregar.
  4. En el campo Rol, seleccione Usuario de cifrado del servicio criptográfico de HSM administrado.
  5. En el campo Ámbito, seleccione All keys (/).
  6. En el campo Entidad de seguridad, escriba el principalId de la cuenta de almacenamiento raíz de DBFS en la barra de búsqueda. Seleccione el resultado.
  7. Haga clic en Crear.
  8. En el menú de la izquierda, en Configuración, seleccione Claves y seleccione la clave.
  9. En el campo Identificador de clave, copie el texto.

Cifrado de la cuenta de almacenamiento raíz de DBFS mediante la clave HSM

  1. En Azure Portal, vaya al recurso de servicio de Azure Databricks.
  2. En el menú de la izquierda, en Configuración, seleccione Cifrado.
  3. Seleccione Usar su propia clave, escriba el identificador de clave de la clave HSN administrada y seleccione la suscripción que la contiene.
  4. Haga clic en Guardar para guardar la configuración de la clave.

Regeneración (rotación) de claves

Al regenerar una clave, debe volver a la página Cifrado del recurso de servicio de Azure Databricks, actualizar el campo Identificador de clave con el nuevo identificador de clave y hacer clic en Guardar. Esto se aplica tanto a las nuevas versiones de la misma clave, como a las claves nuevas.

Importante

Si elimina la clave que se usa para el cifrado, no se podrá acceder a los datos de la raíz de DBFS.