Partilhar via

Configurar chaves geridas pelo cliente para DBFS através do portal do Azure

  • Artigo

Nota

Esta funcionalidade está disponível apenas no plano Premium.

Você pode usar o portal do Azure para configurar sua própria chave de criptografia para criptografar a conta de armazenamento do espaço de trabalho. Este artigo descreve como configurar a sua própria chave a partir dos cofres do Azure Key Vault. Para obter instruções sobre como usar uma chave do Azure Key Vault Managed HSM, consulte Configurar chaves gerenciadas pelo cliente do HSM para DBFS usando o portal do Azure.

Para obter mais informações sobre chaves gerenciadas pelo cliente para DBFS, consulte Chaves gerenciadas pelo cliente para raiz DBFS.

Criar uma chave no Azure Key Vault

Esta seção descreve como criar uma chave em seu Cofre de Chaves do Azure. Você deve usar um Cofre da Chave que esteja no mesmo locatário do Microsoft Entra ID (anteriormente Azure Ative Directory) que seu espaço de trabalho.

Se já tiver um Cofre de Chaves existente na mesma região, pode ignorar o primeiro passo deste procedimento. No entanto, esteja ciente de que, quando você usa o portal do Azure para atribuir uma chave gerenciada pelo cliente para criptografia raiz DBFS, o sistema habilita as propriedades Soft Delete e Do Not Purge por padrão para seu Cofre de Chaves. Para obter mais informações sobre essas propriedades, consulte Visão geral da exclusão suave do Azure Key Vault.

  1. Crie um Cofre de Chaves seguindo as instruções em Guia de início rápido: defina e recupere uma chave do Cofre de Chaves do Azure usando o portal do Azure.

    O espaço de trabalho do Azure Databricks e o Cofre da Chave devem estar na mesma região e no mesmo locatário do Microsoft Entra ID, mas podem estar em assinaturas diferentes.

  2. Crie uma chave no Cofre da Chave, continuando a seguir as instruções no Guia de início rápido.

    O armazenamento raiz DBFS suporta chaves RSA e RSA-HSM dos tamanhos 2048, 3072 e 4096. Para obter mais informações sobre as chaves, veja Acerca das chaves do Key Vault).

  3. Depois que a chave for criada, copie e cole o Identificador de Chave em um editor de texto. Você precisará dele quando configurar sua chave para o Azure Databricks.

Criptografar a conta de armazenamento do espaço de trabalho usando sua chave

  1. Vá para o recurso de serviço do Azure Databricks no portal do Azure.

  2. No menu à esquerda, em Configurações, selecione Criptografia.

    Opção de criptografia para o Azure Databricks

  3. Selecione Usar sua própria chave, insira o Identificador de Chave da sua chave e selecione a Assinatura que contém a chave. Se nenhuma versão da chave for fornecida, a versão mais recente da sua chave será usada. Para obter informações relacionadas, consulte o artigo da documentação do Azure sobre as principais versões.

    Habilitar chaves gerenciadas pelo cliente no portal do Azure

  4. Clique em Salvar para salvar a configuração da chave.

    Nota

    Somente os usuários com a função de Colaborador do Cofre da Chave ou superior para o Cofre da Chave podem salvar.

Quando a criptografia está habilitada, o sistema habilita a Proteção Soft-Delete e Purge no Cofre da Chave, cria uma identidade gerenciada na raiz do DBFS e adiciona uma política de acesso para essa identidade no Cofre da Chave.

Regenerar (girar) chaves

Ao regenerar uma chave, você deve retornar à página Criptografia no recurso de serviço do Azure Databricks, atualizar o campo Identificador de Chave com seu novo identificador de chave e clicar em Salvar. Isto aplica-se a novas versões da mesma chave, bem como a novas chaves.

Importante

Se você excluir a chave usada para criptografia, os dados na raiz DBFS não poderão ser acessados. Você pode usar as APIs do Azure Key Vault para recuperar chaves excluídas.