Dela via

Konfigurera kundhanterade HSM-nycklar för DBFS med hjälp av Azure-portalen

  • Artikel

Kommentar

Den här funktionen är endast tillgänglig i Premium-planen.

Du kan använda Azure-portalen för att konfigurera din egen krypteringsnyckel för att kryptera lagringskontot för arbetsytan. Den här artikeln beskriver hur du konfigurerar din egen nyckel från Azure Key Vault Managed HSM. Anvisningar om hur du använder en nyckel från Azure Key Vault-valv finns i Konfigurera kundhanterade nycklar för DBFS med hjälp av Azure-portalen.

Viktigt!

Key Vault måste finnas i samma Azure-klientorganisation som din Azure Databricks-arbetsyta.

Mer information om kundhanterade nycklar för DBFS finns i Kundhanterade nycklar för DBFS-rot.

Skapa en Hanterad HSM för Azure Key Vault och en HSM-nyckel

Du kan använda en befintlig Hanterad HSM för Azure Key Vault eller skapa och aktivera en ny följande snabbstart: Etablera och aktivera en hanterad HSM med Azure CLI. Azure Key Vault Managed HSM måste ha Purge Protection aktiverat.

Om du vill skapa en HSM-nyckel följer du Skapa en HSM-nyckel.

Förbereda lagringskontot för arbetsytan

  1. Gå till din Azure Databricks-tjänstresurs i Azure-portalen.

  2. I den vänstra menyn, under Automation, väljer du Exportera mall.

  3. Klicka på Distribuera.

  4. Klicka på Redigera mall, sök prepareEncryptionefter och ändra valvet så att true det skriver. Till exempel:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Klicka på Spara.

  6. Klicka på Granska + Skapa för att distribuera ändringen.

  7. Klicka på JSON-vy under Essentials till höger.

  8. Sök storageAccountIdentityefter och kopiera principalId.

Konfigurera den hanterade HSM-rolltilldelningen

  1. Gå till din hanterade HSM-resurs i Azure-portalen.
  2. I den vänstra menyn under Inställningar väljer du Lokal RBAC.
  3. Klicka på Lägg till.
  4. I fältet Roll väljer du Hanterad HSM Kryptotjänstkrypteringsanvändare.
  5. I fältet Omfång väljer du All keys (/).
  6. I fältet Säkerhetsobjekt anger du principalId arbetsytans lagringskonto i sökfältet. Välj resultatet.
  7. Klicka på Skapa.
  8. I den vänstra menyn, under Inställningar, väljer du Nycklar och väljer din nyckel.
  9. Kopiera texten i fältet Nyckelidentifierare .

Kryptera lagringskontot för arbetsytan med hjälp av HSM-nyckeln

  1. Gå till din Azure Databricks-tjänstresurs i Azure-portalen.
  2. I den vänstra menyn under Inställningar väljer du Kryptering.
  3. Välj Använd din egen nyckel, ange nyckelidentifieraren för den hanterade HSM-nyckeln och välj den prenumeration som innehåller nyckeln.
  4. Spara nyckelkonfigurationen genom att klicka på Spara .

Återskapa (rotera) nycklar

När du återskapar en nyckel måste du gå tillbaka till sidan Kryptering i din Azure Databricks-tjänstresurs, uppdatera fältet Nyckelidentifierare med din nya nyckelidentifierare och klicka på Spara. Detta gäller för nya versioner av samma nyckel samt nya nycklar.

Viktigt!

Om du tar bort nyckeln som används för kryptering går det inte att komma åt data i DBFS-roten.