Azure portal を使用して DBFS 用の HSM カスタマー マネージド キーを構成する

Note

この機能は、Premium プランでのみ使用できます。

Azure portal を使用して独自の暗号化キーを構成し、ワークスペース ストレージ アカウントを暗号化することができます。 この記事では、Azure Key Vault Managed HSM から独自のキーを構成する方法について説明します。 Azure Key Vault コンテナーからのキーの使用手順については、「Azure portal を使用して DBFS 用のカスタマー マネージド キーを構成する」を参照してください。

重要

Key Vault は、Azure Databricks ワークスペースと同じ Azure テナント内にある必要があります。

DBFS 用のカスタマー マネージド キーの詳細については、「DBFS ルート用のカスタマー マネージド キー」を参照してください。

Azure Key Vault Managed HSM と HSM キーを作成する

既存の Azure Key Vault Managed HSM を使用するか、「クイックスタート: Azure CLI を使用してマネージド HSM をプロビジョニングしてアクティブにする」に従って新しい HSM を作成してアクティブにすることができます。 Azure Key Vault Managed HSM では、消去保護が有効になっている必要があります。

HSM キーを作成するには、「HSM キーを作成する」に従ってください。

ワークスペース ストレージ アカウントを準備する

1. Azure portal で、Azure Databricks サービス リソースに移動します。

2. 左側のメニューの [オートメーション] で、[テンプレートのエクスポート] を選択します。

3. [デプロイ] をクリックします。

4. [テンプレートの編集] を選択し、prepareEncryption を検索して、値を true 型に変更します。 次に例を示します。

     "prepareEncryption": {
              "type": "Bool",
              "value": "true"
           }
   

5. [保存] をクリックします。

6. [確認と作成] を選択して変更をデプロイします。

7. 右側の [要点] (Essentials) で、[JSON ビュー] をクリックします。

8. storageAccountIdentity を検索し、principalId をコピーします。

Managed HSM ロールの割り当てを構成する

1. Azure portal で、Managed HSM リソースに移動します。
2. 左側のメニューの [設定] で、[ローカル RBAC] を選びます。
3. 追加をクリックします。
4. [ロール] フィールドで、[Managed HSM 暗号化サービスの暗号化ユーザー] を選択します。
5. [スコープ] フィールドで、All keys (/) を選択します。
6. [セキュリティ プリンシパル] フィールドで、検索バーにワークスペース ストレージ アカウントの principalId を入力します。 結果を選択します。
7. Create をクリックしてください。
8. 左側のメニューの [設定] で、[キー] を選択し、キーを選択します。
9. [キー識別子] フィールドで、テキストをコピーします。

HSM キーを使用してワークスペース ストレージ アカウントを暗号化する

1. Azure portal で、Azure Databricks サービス リソースに移動します。
2. 左側のメニューの [設定] で、[暗号化] を選択します。
3. [独自のキーを使用する] を選択し、Managed HSM キーの [キー識別子] を入力して、キーを含む [サブスクリプション] を選択します。
4. [保存] をクリックしてキーの構成を保存します。

キーを再生成 (ローテーション) する

キーを再生成する場合は、Azure Databricks サービス リソースの [暗号化] ページに戻り、[キー識別子] フィールドを新しいキー識別子で更新し、[保存] をクリックする必要があります。 これは、同じキーの新しいバージョンと新しいキーに適用されます。

重要

暗号化に使用されたキーを削除すると、DBFS ルート内のデータにアクセスできません。