Bagikan melalui

Mengonfigurasi kunci yang dikelola-pelanggan menggunakan portal Microsoft Azure

  • Artikel

Catatan

Fitur ini hanya tersedia dalam paket Premium.

Anda dapat menggunakan portal Azure untuk mengonfigurasi kunci enkripsi Anda sendiri untuk mengenkripsi akun penyimpanan ruang kerja. Artikel ini menjelaskan cara mengonfigurasi kunci Anda sendiri dari vault Azure Key Vault. Untuk instruksi tentang menggunakan kunci dari Azure Key Vault Managed HSM, lihat Mengonfigurasi kunci yang dikelola pelanggan HSM untuk DBFS menggunakan portal Azure.

Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan untuk DBFS, lihat Kunci yang dikelola pelanggan untuk akar DBFS.

Membuat kunci di Azure Key Vault

Bagian ini menjelaskan cara membuat kunci di Azure Key Vault Anda. Anda harus menggunakan Key Vault yang berada di penyewa MICROSOFT Entra ID yang sama dengan ruang kerja Anda.

Jika Anda sudah memiliki Key Vault yang ada di wilayah yang sama, Anda dapat melewati langkah pertama dalam prosedur ini. Namun, ketahuilah bahwa ketika Anda menggunakan portal Azure untuk menetapkan kunci yang dikelola pelanggan untuk enkripsi akar DBFS, sistem mengaktifkan properti Penghapusan Sementara dan Jangan Hapus Menyeluruh secara default untuk Key Vault Anda. Untuk informasi selengkapnya tentang propert ini, lihat Gambaran umum penghapusan sementara Azure Key Vault.

  1. Buat Key Vault dengan mengikuti instruksi di Mulai Cepat: Atur dan ambil kunci dari Azure Key Vault menggunakan portal Azure.

    Ruang kerja Azure Databricks dan Key Vault harus berada di wilayah yang sama dan penyewa ID Microsoft Entra yang sama, tetapi dapat berada di langganan yang berbeda.

  2. Buat kunci di Key Vault, terus ikuti instruksi di Mulai Cepat.

    Penyimpanan akar DBFS mendukung kunci RSA dan RSA-HSM ukuran 2048, 3072 dan 4096. Untuk informasi selengkapnya tentang kunci, lihat Tentang kunci Key Vault.

  3. Setelah kunci Anda dibuat, salin dan tempel Pengidentifikasi Kunci ke editor teks. Anda akan membutuhkannya saat mengonfigurasi kunci Anda untuk Azure Databricks.

Mengenkripsi akun penyimpanan ruang kerja menggunakan kunci Anda

  1. Buka sumber daya layanan Azure Databricks di portal Microsoft Azure.

  2. Di menu sebelah kiri di bawah Pengaturan, pilih Enkripsi.

    Opsi enkripsi untuk Azure Databricks

  3. Pilih Gunakan kunci Anda sendiri, masukkan Pengidentifikasi Kunci kunci Anda, dan pilih Langganan yang berisi kunci. Jika tidak ada versi kunci yang disediakan, versi terbaru kunci Anda akan digunakan. Untuk informasi terkait, lihat artikel dokumentasi Azure tentang versi kunci.

    Mengaktifkan kunci yang dikelola pelanggan di portal Azure

  4. Klik Simpan untuk menyimpan konfigurasi kunci.

    Catatan

    Hanya pengguna dengan peran Kontributor Key Vault atau yang lebih tinggi untuk Key Vault yang dapat menyimpan.

Ketika enkripsi diaktifkan, sistem mengaktifkan Perlindungan Penghapusan Sementara dan Penghapusan Menyeluruh pada Key Vault, membuat identitas terkelola pada akar DBFS, dan menambahkan kebijakan akses untuk identitas ini di Key Vault.

Meregenerasi (memutar) kunci

Saat Anda meregenerasi kunci, Anda harus kembali ke halaman Enkripsi di sumber daya layanan Azure Databricks Anda, memperbarui bidang Pengidentifikasi Kunci dengan pengidentifikasi kunci baru Anda, dan klik Simpan. Ini berlaku untuk versi baru dari kunci yang sama serta kunci baru.

Penting

Jika Anda menghapus kunci yang digunakan untuk enkripsi, data di root DBFS tidak dapat diakses. Anda dapat menggunakan API Azure Key Vault untuk memulihkan kunci yang dihapus.