Condividi tramite

Configurare le chiavi gestite dal cliente del modulo di protezione hardware per DBFS usando il portale di Azure

  • Articolo

Nota

Questa funzionalità è disponibile solo nel piano Premium.

È possibile usare il portale di Azure per configurare la propria chiave di crittografia per crittografare l'account di archiviazione dell'area di lavoro. Questo articolo descrive come configurare la propria chiave dal modulo di protezione hardware gestito di Azure Key Vault. Per istruzioni sull'uso di una chiave da insiemi di credenziali di Azure Key Vault, vedere Configurare chiavi gestite dal cliente per DBFS usando il portale di Azure.

Importante

L'insieme di credenziali delle chiavi deve trovarsi nello stesso tenant di Azure dell'area di lavoro di Azure Databricks.

Per altre informazioni sulle chiavi gestite dal cliente per DBFS, vedere Chiavi gestite dal cliente per la radice DBFS.

Creare un modulo di protezione hardware gestito di Azure Key Vault e una chiave HSM

È possibile usare un modulo di protezione hardware gestito di Azure Key Vault esistente o crearne uno nuovo e attivarne uno nuovo : Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando l'interfaccia della riga di comando di Azure. Il modulo di protezione hardware gestito di Azure Key Vault deve avere la protezione ripulitura abilitata.

Per creare una chiave HSM, seguire Creare una chiave HSM.

Preparare l'account di archiviazione dell'area di lavoro

  1. Passare alla risorsa del servizio Azure Databricks nella portale di Azure.

  2. Nel menu a sinistra, in Automazione, selezionare Esporta modello.

  3. Fare clic su Distribuzione.

  4. Fare clic su Modifica modello, cercare prepareEncryptione modificare l'insieme di credenziali in modo da true digitare. Ad esempio:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Fare clic su Salva.

  6. Fare clic su Rivedi e crea per distribuire la modifica.

  7. A destra, in Informazioni di base fare clic su Visualizzazione JSON.

  8. storageAccountIdentityCercare e copiare .principalId

Configurare l'assegnazione di ruolo modulo di protezione hardware gestito

  1. Passare alla risorsa del modulo di protezione hardware gestito nella portale di Azure.
  2. Nel menu a sinistra, in Impostazioni, selezionare Controllo degli accessi in base al ruolo locale.
  3. Fare clic su Aggiungi.
  4. Nel campo Ruolo selezionare Managed HSM Crypto Service Encryption User (Utente crittografia del servizio di protezione hardware gestito).
  5. Nel campo Ambito selezionare All keys (/).
  6. Nel campo Entità di sicurezza immettere l'oggetto principalId dell'account di archiviazione dell'area di lavoro nella barra di ricerca. Selezionare il risultato.
  7. Cliccare su Crea.
  8. Nel menu a sinistra, in Impostazioni, selezionare Chiavi e selezionare la chiave.
  9. Nel campo Identificatore chiave copiare il testo.

Crittografare l'account di archiviazione dell'area di lavoro usando la chiave HSM

  1. Passare alla risorsa del servizio Azure Databricks nella portale di Azure.
  2. Nel menu a sinistra, in Impostazioni, selezionare Crittografia.
  3. Selezionare Usa la propria chiave, immettere l'identificatore di chiave del modulo di protezione hardware gestito e selezionare la sottoscrizione che contiene la chiave.
  4. Fare clic su Salva per salvare la configurazione della chiave.

Rigenerare (ruotare) le chiavi

Quando si rigenera una chiave, è necessario tornare alla pagina Crittografia nella risorsa del servizio Azure Databricks, aggiornare il campo Identificatore chiave con il nuovo identificatore di chiave e fare clic su Salva. Questo vale per le nuove versioni della stessa chiave e per le nuove chiavi.

Importante

Se si elimina la chiave usata per la crittografia, non è possibile accedere ai dati nella radice DBFS.