Поделиться через

Настройка ключей, управляемых клиентом HSM для DBFS, с помощью портал Azure

  • Статья

Примечание.

Эта функция доступна только в плане Premium.

Вы можете использовать портал Azure для настройки собственного ключа шифрования для шифрования учетной записи хранения рабочей области. В этой статье описывается настройка собственного ключа из управляемого HSM в Azure Key Vault. Инструкции по использованию ключа из хранилищ Azure Key Vault см. в разделе "Настройка управляемых клиентом ключей для DBFS" с помощью портал Azure.

Внимание

Хранилище ключей должно находиться в том же клиенте Azure, что и рабочая область Azure Databricks.

Дополнительные сведения о ключах, управляемых клиентом для DBFS, см. в разделе "Ключи, управляемые клиентом" для корневого каталога DBFS.

Создание управляемого HSM в Azure Key Vault и ключа HSM

Вы можете использовать существующий управляемый HSM в Azure Key Vault или создать и активировать новую следующую краткое руководство. Подготовка и активация управляемого HSM с помощью Azure CLI. Управляемый модуль HSM в Azure Key Vault должен иметь включенную защиту очистки.

Чтобы создать ключ HSM, следуйте инструкциям по созданию ключа HSM.

Подготовка учетной записи хранения рабочей области

  1. На портале Azure выберите ресурс службы Azure Databricks.

  2. В меню слева в разделе "Автоматизация" выберите "Экспорт шаблона".

  3. Щелкните Развернуть.

  4. Щелкните "Изменить шаблон", найдите prepareEncryptionи измените хранилище на true тип. Например:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Нажмите кнопку Сохранить.

  6. Нажмите кнопку "Рецензирование" и " Создать ", чтобы развернуть изменение.

  7. Справа в разделе "Основные сведения" нажмите кнопку "Представление JSON".

  8. storageAccountIdentityВыполните поиск и скопируйте principalIdфайл .

Настройка назначения роли управляемого устройства HSM

  1. Перейдите к ресурсу Управляемого устройства HSM в портал Azure.
  2. В меню слева в разделе Параметры выберите "Локальный RBAC".
  3. Нажмите кнопку Добавить.
  4. В поле "Роль" выберите пользователя шифрования службы шифрования управляемого шифрования HSM.
  5. В поле "Область" выберите All keys (/).
  6. В поле "Субъект безопасности" введите principalId учетную запись хранения рабочей области в строке поиска. Выберите результат.
  7. Нажмите кнопку Создать.
  8. В меню слева в разделе Параметры выберите "Ключи" и выберите свой ключ.
  9. Скопируйте текст в поле "Идентификатор ключа".

Шифрование учетной записи хранения рабочей области с помощью ключа HSM

  1. На портале Azure выберите ресурс службы Azure Databricks.
  2. В меню слева в разделе Параметры выберите Шифрование.
  3. Выберите "Использовать собственный ключ", введите идентификатор ключа управляемого ключа HSM и выберите подписку, содержащую ключ.
  4. Чтобы сохранить конфигурацию ключа, нажмите кнопку Сохранить.

Повторное создание (замена) ключей

При повторном создании ключа необходимо вернуться на страницу Шифрование в ресурсе службы Azure Databricks, обновить поле Идентификатор ключа новым идентификатором ключа и нажать кнопку Сохранить. Это относится к новым версиям того же ключа, а также к новым ключам.

Внимание

Если удалить ключ, используемый для шифрования, доступ к данным в корневом каталоге DBFS невозможно.