Bagikan melalui

Mengonfigurasi kunci yang dikelola pelanggan HSM untuk DBFS menggunakan portal Azure

  • Artikel

Catatan

Fitur ini hanya tersedia dalam paket Premium.

Anda dapat menggunakan portal Azure untuk mengonfigurasi kunci enkripsi Anda sendiri untuk mengenkripsi akun penyimpanan ruang kerja. Artikel ini menjelaskan cara mengonfigurasi kunci Anda sendiri dari Azure Key Vault Managed HSM. Untuk instruksi tentang menggunakan kunci dari brankas Azure Key Vault, lihat Mengonfigurasi kunci yang dikelola pelanggan untuk DBFS menggunakan portal Azure.

Penting

Key Vault harus berada di penyewa Azure yang sama dengan ruang kerja Azure Databricks Anda.

Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan untuk DBFS, lihat Kunci yang dikelola pelanggan untuk akar DBFS.

Membuat HSM Terkelola Azure Key Vault dan kunci HSM

Anda dapat menggunakan Azure Key Vault Managed HSM yang sudah ada atau membuat dan mengaktifkan yang baru berikut Mulai Cepat: Memprovisikan dan mengaktifkan HSM Terkelola menggunakan Azure CLI. Azure Key Vault Managed HSM harus mengaktifkan Perlindungan Penghapusan Menyeluruh .

Untuk membuat kunci HSM, ikuti Membuat kunci HSM.

Menyiapkan akun penyimpanan ruang kerja

  1. Buka sumber daya layanan Azure Databricks di portal Microsoft Azure.

  2. Di menu sebelah kiri, di bawah Automation, pilih Ekspor templat.

  3. Klik Sebarkan.

  4. Klik Edit templat, cari prepareEncryption, dan ubah vault untuk true mengetik. Contohnya:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Klik Simpan.

  6. Klik Tinjau + Buat untuk menyebarkan perubahan.

  7. Di sebelah kanan, di bawah Esensial, klik Tampilan JSON.

  8. Cari storageAccountIdentity, dan salin principalId.

Mengonfigurasi penetapan peran HSM Terkelola

  1. Buka sumber daya HSM Terkelola Anda di portal Azure.
  2. Di menu sebelah kiri, di bawah Pengaturan, pilih RBAC Lokal.
  3. Klik Tambahkan.
  4. Di bidang Peran, pilih Pengguna Enkripsi Layanan Kripto HSM Terkelola.
  5. Di bidang Cakupan, pilih All keys (/).
  6. Di bidang Prinsip keamanan, masukkan principalId akun penyimpanan ruang kerja di bilah pencarian. Pilih hasilnya.
  7. Klik Buat.
  8. Di menu sebelah kiri, di bawah Pengaturan, pilih Kunci dan pilih kunci Anda.
  9. Di bidang Pengidentifikasi Kunci, salin teks.

Mengenkripsi akun penyimpanan ruang kerja menggunakan kunci HSM Anda

  1. Buka sumber daya layanan Azure Databricks di portal Microsoft Azure.
  2. Di menu sebelah kiri di bawah Pengaturan, pilih Enkripsi.
  3. Pilih Gunakan kunci Anda sendiri, masukkan Pengidentifikasi Kunci kunci HSM Terkelola Anda, dan pilih Langganan yang berisi kunci.
  4. Klik Simpan untuk menyimpan konfigurasi kunci.

Meregenerasi (memutar) kunci

Saat Anda meregenerasi kunci, Anda harus kembali ke halaman Enkripsi di sumber daya layanan Azure Databricks Anda, memperbarui bidang Pengidentifikasi Kunci dengan pengidentifikasi kunci baru Anda, dan klik Simpan. Ini berlaku untuk versi baru dari kunci yang sama serta kunci baru.

Penting

Jika Anda menghapus kunci yang digunakan untuk enkripsi, data di akar DBFS tidak dapat diakses.