Partager via

Configurer les clés gérées par le client HSM pour DBFS à l'aide du portail Azure

  • Article

Remarque

Cette fonctionnalité est disponible uniquement dans le plan Premium.

Vous pouvez utiliser le Portail Azure pour configurer votre propre clé de chiffrement afin de chiffrer le compte de stockage de l’espace de travail. Cet article explique comment configurer votre propre clé à partir des HSM managés Azure Key Vault. Pour obtenir des instructions sur l’utilisation d’une clé des coffres Azure Key Vault, consultez Configurer les clés gérées par le client pour DBFS à l’aide du Portail Azure.

Important

Key Vault doit être dans le même locataire Azure que votre espace de travail Azure Databricks.

Pour plus d’informations sur les clés gérées par le client pour DBFS, consultez Clés gérées par le client pour la racine DBFS.

Créer un HSM géré par Azure Key Vault et une clé HSM

Vous pouvez utiliser un HSM managé Azure Key Vault existant ou créer et activer un nouveau à l’aide du Guide de démarrage rapide : provisionner et activer un HSM managé à l’aide d’Azure CLI. Le HSM managé Azure Key Vault doit avoir la protection contre la purge activée.

Pour créer une clé HSM, suivez Créer une clé HSM.

Préparez le compte de stockage de l’espace de travail

  1. Accédez à votre ressource de service Azure Databricks dans le portail Azure.

  2. Dans le menu de gauche, sous Automatisation, sélectionnez Exporter le modèle.

  3. Cliquez sur Déployer.

  4. Cliquez sur Modifier le modèle, recherchez prepareEncryption, puis modifiez le coffre pour le type true. Par exemple :

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Cliquez sur Enregistrer.

  6. Cliquez sur Vérifier + créer pour déployer la modification.

  7. Sur la droite, sous Éléments essentiels, cliquez sur Affichage JSON.

  8. Recherchez storageAccountIdentity, puis copiez principalId.

Configurez l'attribution du rôle HSM géré

  1. Accédez à votre ressource HSM géré dans le Portail Azure.
  2. Dans le menu de gauche, sous Paramètres, sélectionnez Local RBAC.
  3. Cliquez sur Ajouter.
  4. Dans le champ Rôle, sélectionnez Utilisateur de chiffrement du service de chiffrement HSM géré.
  5. Dans le champ Portée, sélectionnez All keys (/).
  6. Dans le champ Principal de sécurité, saisissez l’élément principalId du compte de stockage de l’espace de travail dans la barre de recherche. Sélectionnez le résultat.
  7. Cliquez sur Créer.
  8. Dans le menu de gauche, sous Paramètres, sélectionnez Clés, puis sélectionnez votre clé.
  9. Dans le champ Identificateur de clé, copiez le texte.

Chiffrez le compte de stockage de l’espace de travail à l’aide de votre clé HSM

  1. Accédez à votre ressource de service Azure Databricks dans le portail Azure.
  2. Dans le menu de gauche, sous Paramètres, sélectionnez Cryptage.
  3. Sélectionnez utiliser votre propre clé, entrez l’identificateur de clé de votre clé HSM géré, puis sélectionnez l' abonnement qui contient la clé.
  4. Cliquez sur Enregistrer pour enregistrer la configuration de votre clé.

Régénérer (faire pivoter) les clés

Lorsque vous régénérez une clé, vous devez revenir à la page de chiffrement dans votre ressource de service Azure Databricks, mettre à jour le champ d' identificateur de clé avec votre nouvel identificateur de clé, puis cliquer sur Enregistrer. Cela s’applique aux nouvelles versions de la même clé, ainsi qu’aux nouvelles clés.

Important

Si vous supprimez la clé utilisée pour le chiffrement, il sera impossible d’accéder aux données de la racine DBFS.