HSM ügyfél által felügyelt kulcsok engedélyezése felügyelt szolgáltatásokhoz

Feljegyzés

Ehhez a funkcióhoz prémium csomag szükséges.

Ez a cikk bemutatja, hogyan konfigurálhatja saját kulcsát az Azure Key Vault felügyelt HSM-ből. Az Azure Key Vault-tárolókból származó kulcsok használatára vonatkozó utasításokért lásd : Ügyfél által felügyelt kulcsok engedélyezése felügyelt szolgáltatásokhoz.

Követelmények

• Ha az Azure CLI-t szeretné használni ezekhez a feladatokhoz, telepítse az Azure CLI-eszközt, és telepítse a Databricks bővítményt:

  az extension add --name databricks
  

• Ha a PowerShellt szeretné használni ezekhez a feladatokhoz, telepítse az Azure PowerShellt, és telepítse a Databricks PowerShell-modult. Az alábbiakat is be kell jelentkeznie:

  Connect-AzAccount
  

  Ha felhasználóként szeretne bejelentkezni az Azure-fiókjába, tekintse meg a PowerShell-bejelentkezést egy Azure Databricks-felhasználói fiókkal. Ha szolgáltatásnévként szeretne bejelentkezni az Azure-fiókjába, olvassa el a Microsoft Entra ID szolgáltatásnévvel rendelkező PowerShell-bejelentkezést.

1. lépés: Felügyelt Azure Key Vault HSM és HSM-kulcs létrehozása

Használhat egy meglévő Felügyelt Azure Key Vault HSM-et, vagy létrehozhat és aktiválhat egy újat a felügyelt HSM dokumentációjának rövid útmutatói alapján. Lásd : Rövid útmutató: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával. Az Azure Key Vault által felügyelt HSM-nek engedélyeznie kell a Purge Protection használatát.

Fontos

A Key Vaultnak ugyanabban az Azure-bérlőben kell lennie, mint az Azure Databricks-munkaterület.

HSM-kulcs létrehozásához kövesse a HSM-kulcs létrehozását.

2. lépés: A felügyelt HSM-szerepkör-hozzárendelés konfigurálása

Konfiguráljon egy szerepkör-hozzárendelést a Key Vault által felügyelt HSM-hez, hogy az Azure Databricks-munkaterület hozzáféréssel rendelkezhessen. A szerepkör-hozzárendelést az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával konfigurálhatja.

Az Azure Portal használata

1. Nyissa meg a felügyelt HSM-erőforrást az Azure Portalon.
2. A bal oldali menü Gépház területén válassza a Helyi RBAC lehetőséget.
3. Kattintson a Hozzáadás gombra.
4. A Szerepkör mezőben válassza a Felügyelt HSM titkosítási szolgáltatás titkosítási felhasználója lehetőséget.
5. A Hatókör mezőben válassza a lehetőségetAll keys (/).
6. A Biztonság egyszerű mezőben írja be AzureDatabricks és görgessen a vállalati alkalmazás eredményéhez, amelynek alkalmazásazonosítója 2ff814a6-3304-4ab8-85cb-cd0e6f879c1d van, és jelölje ki.
7. Kattintson a Létrehozás gombra.
8. A bal oldali menü Gépház területén válassza a Kulcsok lehetőséget, és válassza ki a kulcsot.
9. Másolja a szöveget a Kulcsazonosító mezőbe.

Az Azure parancssori felület használatával

1. Az AzureDatabricks-alkalmazás objektumazonosítójának lekérése az Azure CLI-vel.

   az ad sp show --id "2ff814a6-3304-4ab8-85cb-cd0e6f879c1d" \
                   --query "id" \
                   --output tsv
   

2. Konfigurálja a felügyelt HSM-szerepkör-hozzárendelést. Cserélje le <hsm-name> a felügyelt HSM-nevet, és cserélje le <object-id> az előző lépésben szereplő AzureDatabricks alkalmazás objektumazonosítójára.

   az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
       --scope "/" --hsm-name <hsm-name>
       --assignee-object-id <object-id>
   

Az Azure PowerShell használata

Cserélje le <hsm-name> a felügyelt HSM-nevet.

Connect-AzureAD
$managedService = Get-AzureADServicePrincipal \
-Filter "appId eq '2ff814a6-3304-4ab8-85cb-cd0e6f879c1d'"

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $managedService.ObjectId

3. lépés: Kulcs hozzáadása munkaterülethez

A felügyelt szolgáltatásokhoz ügyfél által felügyelt kulccsal hozhat létre vagy frissíthet munkaterületet az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával.

Az Azure Portal használata

1. Nyissa meg az Azure Portal kezdőlapját.

2. Kattintson az Erőforrás létrehozása elemre a lap bal felső sarkában.

3. A keresősávon belül írja be Azure Databricks és kattintson az Azure Databricks beállításra.

4. Kattintson a Létrehozás gombra az Azure Databricks widgetben.

5. Adja meg a beviteli mezők értékeit az Alapismeretek és hálózatkezelés lapon.

6. A Titkosítás lap elérése után:

   • Munkaterület létrehozásához engedélyezze a Saját kulcs használata lehetőséget a Felügyelt szolgáltatások szakaszban.
   • Munkaterület frissítéséhez engedélyezze a felügyelt szolgáltatásokat.

7. Adja meg a titkosítási mezőket.

   

   • A Kulcsazonosító mezőbe illessze be a felügyelt HSM-kulcs kulcsazonosítóját.
   • Az Előfizetés legördülő listában adja meg az Azure Key Vault-kulcs előfizetésének nevét.

8. Töltse ki a fennmaradó lapokat, és kattintson a Véleményezés + Létrehozás (új munkaterület esetén) vagy a Mentés (munkaterület frissítéséhez) elemre.

Az Azure CLI használata

Munkaterület létrehozása vagy frissítése:

Létrehozáshoz és frissítéshez vegye fel a következő mezőket a parancsba:

• managed-services-key-name: Felügyelt HSM neve
• managed-services-key-vault: Felügyelt HSM URI
• managed-services-key-version: Felügyelt HSM-verzió

Példa munkaterület létrehozására az alábbi mezők használatával:

az databricks workspace create --name <workspace-name> \
--resource-group <resource-group-name> \
--location <location> \
--sku premium \
--managed-services-key-name <hsm-name> \
--managed-services-key-vault <hsm-uri> \
--managed-services-key-version <hsm-version>

Példa egy munkaterület frissítésére az alábbi mezők használatával:

az databricks workspace update --name <workspace-name> \
--resource-group <resource-group-name> \
--managed-services-key-name <hsm-name> \
--managed-services-key-vault <hsm-uri> \
--managed-services-key-version <hsm-version>

Fontos

Ha elforgatja a kulcsot, a régi kulcsot 24 órán át elérhetővé kell tennie.

A PowerShell használata

Munkaterület létrehozásához vagy frissítéséhez adja hozzá a következő paramétereket az új kulcs parancsához:

• ManagedServicesKeyVaultPropertiesKeyName: Felügyelt HSM neve
• ManagedServicesKeyVaultPropertiesKeyVaultUri: Felügyelt HSM URI
• ManagedServicesKeyVaultPropertiesKeyVersion: Felügyelt HSM-verzió

Példa munkaterület létrehozására az alábbi mezőkkel:

New-AzDatabricksWorkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-location $keyVault.Location \
-sku premium \
-ManagedServicesKeyVaultPropertiesKeyName $hsm.Name \
-ManagedServicesKeyVaultPropertiesKeyVaultUri $hsm.Uri \
-ManagedServicesKeyVaultPropertiesKeyVersion $hsm.Version

Példa munkaterület frissítésre az alábbi mezőkkel:

Update-AzDatabricksWorkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-sku premium \
-ManagedServicesKeyVaultPropertiesKeyName $hsm.Name \
-ManagedServicesKeyVaultPropertiesKeyVaultUri $hsm.VaultUri \
-ManagedServicesKeyVaultPropertiesKeyVersion $hsm.Version

Fontos

Ha elforgatja a kulcsot, a régi kulcsot 24 órán át elérhetővé kell tennie.

4. lépés (nem kötelező): Jegyzetfüzetek újraimportálása

Miután először hozzáadott egy kulcsot egy meglévő munkaterület felügyelt szolgáltatásaihoz, csak a jövőbeli írási műveletek használják a kulcsot. A meglévő adatok nem lesznek újra titkosítva.

Exportálhatja az összes jegyzetfüzetet, majd újra importálhatja őket, hogy az adatokat titkosító kulcs védve legyen, és a kulcs vezérelje őket. A Munkaterület exportálása és importálása API-kat használhatja.

A kulcs elforgatása későbbi időpontban

Ha már ügyfél által felügyelt kulcsot használ felügyelt szolgáltatásokhoz, frissítheti a munkaterületet egy új kulcsverzióval vagy egy teljesen új kulccsal. Ezt kulcsforgatásnak nevezzük.

1. Hozzon létre egy új kulcsot, vagy forgassa el a meglévő kulcsot a felügyelt HSM-tárolóban.

   Győződjön meg arról, hogy az új kulcs rendelkezik a megfelelő engedélyekkel.

2. Frissítse a munkaterületet az új kulccsal a portál, a parancssori felület vagy a PowerShell használatával. Lásd : 3. lépés: Kulcs hozzáadása egy munkaterülethez , és kövesse a munkaterület frissítésére vonatkozó utasításokat. Győződjön meg arról, hogy ugyanazokat az értékeket használja az erőforráscsoport nevére és a munkaterület nevére, hogy az új munkaterület létrehozása helyett frissítse a meglévő munkaterületet. A kulcshoz kapcsolódó paraméterek módosításain kívül használja ugyanazokat a paramétereket, amelyeket a munkaterület létrehozásához használtak.

   Fontos

   Ha elforgatja a kulcsot, a régi kulcsot 24 órán át elérhetővé kell tennie.

3. Ha szeretné, exportálja és importálja újra a meglévő jegyzetfüzeteket , hogy minden meglévő jegyzetfüzete használja az új kulcsot.