SQL Server ビッグ データ クラスターでの HDFS 暗号化ゾーンの使用ガイド

適用対象: SQL Server 2019 (15.x)

重要

Microsoft SQL Server 2019 ビッグ データ クラスターのアドオンは廃止されます。 SQL Server 2019 ビッグ データ クラスターのサポートは、2025 年 2 月 28 日に終了します。 ソフトウェア アシュアランス付きの SQL Server 2019 を使用する既存の全ユーザーはプラットフォームで完全にサポートされ、ソフトウェアはその時点まで SQL Server の累積更新プログラムによって引き続きメンテナンスされます。 詳細については、お知らせのブログ記事と「Microsoft SQL Server プラットフォームのビッグ データ オプション」を参照してください。

この記事では、SQL Server ビッグ データ クラスターの保存時の暗号化機能を使用し、暗号化ゾーンを使用して HDFS フォルダーを暗号化する方法について説明します。 HDFS のキー管理タスクについても説明します。

/securelake にある既定の暗号化ゾーンが使用できるように準備されています。 これは、securelakekey という名前のシステム生成の 256 ビット キーを使用して作成されました。 このキーは、他の暗号化ゾーンを作成するために使用できます。

前提条件

• Active Directory 統合を使用する SQL Server ビッグ データ クラスター CU8 以降。
• Kubernetes 管理者特権を持つ SQL Server ビッグ データ クラスター ユーザー (clusterAdmins ロールのメンバー)。 詳細については、「Active Directory モードでビッグ データ クラスター アクセスを管理する」を参照してください。
• AD モードで構成され、クラスターにログインしている Azure Data CLI (azdata)。

指定されたシステム マネージド キーを使用して暗号化ゾーンを作成する

1. この azdata コマンドを使用して HDFS フォルダーを作成します。

   azdata bdc hdfs mkdir --path /user/zone/folder
   

2. encryption zone create コマンドを発行して、securelakekey キーを使用してフォルダーを暗号化します。

   azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
   

外部プロバイダーの利用時に暗号化ゾーンを管理する

SQL Server ビッグ データ クラスターの保存時の暗号化でキーのバージョンを使用する方法の詳細については、「HDFS のメイン キー ローテーション」で、外部キー プロバイダーを使用するときに暗号化ゾーンを管理する方法のエンドツーエンドの例を確認してください。

カスタムの新しいキーと暗号化ゾーンを作成する

1. 次のパターンを使用して、256 ビットのキーを作成します。

   azdata bdc hdfs key create --name mydatalakekey
   

2. ユーザー キーを使用して、新しい HDFS パスを作成し、暗号化します。

   azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
   

HDFS キーのローテーションと暗号化ゾーンの再暗号化

1. この手法では、新しいキー マテリアルを使用して securelakekey の新しいバージョンを作成します。

   azdata hdfs bdc key roll --name securelakekey
   

2. 上記のキーに関連する暗号化ゾーンを再暗号化します。

   azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
   

HDFS キーと暗号化ゾーンの監視

• 暗号化ゾーンの再暗号化の状態を監視するには、このコマンドを使用します。

  azdata bdc hdfs encryption-zone status
  

• 暗号化ゾーン内のファイルに関する暗号化情報を取得するには、このコマンドを使用します。

  azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv
  

• すべての暗号化ゾーンを一覧表示するには、このコマンドを使用します。

  azdata bdc hdfs encryption-zone list
  

• HDFS で使用できるすべてのキーを一覧表示するには、このコマンドを使用します。

  azdata bdc hdfs key list
  

• HDFS 暗号化用のカスタム キーを作成するには、このコマンドを使用します。

  azdata hdfs key create --name key1 --size 256
  

  使用できるサイズは 128、192、256 です。 既定値は 256 です。

次の手順

ビッグ データ クラスターで azdata を使用します。SQL Server 2019 ビッグ データ クラスターの紹介に関する記事を参照してください。

保存時の暗号化に外部キー プロバイダーを利用する方法については、「SQL Server ビッグ データ クラスター の外部キー プロバイダー」を参照してください。

• SQL Server ビッグ データ クラスターの保存時の Transparent Data Encryption (TDE) の使用ガイド
• SQL Server ビッグ データ クラスター のキー バージョン