Compartir vía

Configuración de claves administradas por el cliente para DBFS mediante Azure Portal

  • Artículo

Nota:

Esta característica solo está disponible en el plan Premium.

Puede usar Azure Portal para configurar su propia clave de cifrado para cifrar la cuenta de almacenamiento del área de trabajo. En este artículo se describe cómo configurar su propia clave desde almacenes de Azure Key Vault. Para obtener instrucciones sobre el uso de una clave de HSM administrado por Azure Key Vault, consulte Configurar claves administradas por el cliente de HSM para DBFS mediante Azure Portal.

Para más información sobre las claves administradas por el cliente para DBFS, consulte Claves administradas por el cliente para la raíz de DBFS.

Creación de una clave en Azure Key Vault

En esta sección se describe cómo crear una clave en Azure Key Vault. Debe usar una instancia de Key Vault que se encuentra en el mismo inquilino de Id. de Microsoft Entra que el área de trabajo.

Si ya tiene un almacén de claves existente en la misma región, puede omitir el primer paso de este procedimiento. Pero tenga en cuenta que, cuando se usa Azure Portal para asignar una clave administrada por el cliente para el cifrado raíz de DBFS, el sistema habilita de forma predeterminada las propiedades Eliminación temporal y No purgar para el Key Vault. Para más información sobre estas propiedades, consulte Información general sobre la eliminación temporal de Azure Key Vault.

  1. Cree un Key Vault siguiendo las instrucciones de Inicio rápido: Establecimiento y recuperación de una clave de Azure Key Vault mediante Azure Portal.

    El área de trabajo de Azure Databricks y Key Vault deben estar en la misma región y en el mismo inquilino de Microsoft Entra ID, pero pueden estar en suscripciones diferentes.

  2. Cree una clave en Key Vault y siga las instrucciones del Inicio rápido.

    El almacenamiento raíz de DBFS admite claves RSA y RSA-HSM de los tamaños 2048, 3072 y 4096. Para obtener más información sobre las claves, consulte Información sobre las claves de Azure Key Vault.

  3. Cuando se haya creado la clave, copie y pegue el identificador de clave en un editor de texto. La necesitará al configurar la clave para Azure Databricks.

Cifrado de la cuenta de almacenamiento del área de trabajo mediante la clave

  1. En Azure Portal, vaya al recurso de servicio de Azure Databricks.

  2. En el menú de la izquierda, en Configuración, seleccione Cifrado.

    Opción de cifrado para Azure Databricks

  3. Seleccione Usar su propia clave, escriba el identificador de clave de la clave y seleccione la suscripción que la contiene. Si no se proporciona ninguna versión de clave, se usa la versión más reciente de la clave. Para obtener información relacionada, consulte el artículo de documentación de Azure sobre las versiones de clave.

    Habilitación de claves administradas por el cliente en Azure Portal

  4. Haga clic en Guardar para guardar la configuración de la clave.

    Nota:

    Solo pueden guardar los usuarios con el rol colaborador de Key Vault o superior para Key Vault.

Cuando se habilita el cifrado, el sistema habilita la eliminación temporal y la protección de purgas en Key Vault, crea una identidad administrada en la raíz de DBFS y agrega una directiva de acceso para esta identidad en Key Vault.

Regeneración (rotación) de claves

Al regenerar una clave, debe volver a la página Cifrado del recurso de servicio de Azure Databricks, actualizar el campo Identificador de clave con el nuevo identificador de clave y hacer clic en Guardar. Esto se aplica tanto a las nuevas versiones de la misma clave, como a las claves nuevas.

Importante

Si elimina la clave que se usa para el cifrado, no se podrá acceder a los datos de la raíz de DBFS. Puede usar las API de Azure Key Vault para recuperar las claves eliminadas.