Azure tarafından yönetilen diskler için HSM müşteri tarafından yönetilen anahtarları yapılandırma

İşlem düzlemindeki Azure Databricks işlem iş yükleri, Azure yönetilen disklerinde geçici verileri depolar. Varsayılan olarak, yönetilen disklerde depolanan veriler, Microsoft tarafından yönetilen anahtarlarla sunucu tarafı şifreleme kullanılarak bekleme durumunda şifrelenir. Bu makalede, yönetilen disk şifrelemesi için kullanılacak Azure Databricks çalışma alanınız için Azure Key Vault HSM'den müşteri tarafından yönetilen anahtarın nasıl yapılandırıldığı açıklanır. Azure Key Vault kasalarından anahtar kullanma yönergeleri için bkz . Azure yönetilen diskleri için müşteri tarafından yönetilen anahtarları yapılandırma.

Önemli

• Yönetilen disk depolama için müşteri tarafından yönetilen anahtarlar veri disklerine uygulanır, ancak işletim sistemi (OS) disklerine uygulanmaz.
• Yönetilen disk depolama için müşteri tarafından yönetilen anahtarlar, sunucusuz SQL ambarları ve Model Sunma gibi sunucusuz işlem kaynakları için geçerli değildir. Sunucusuz işlem kaynakları için kullanılan diskler kısa ömürlüdür ve sunucusuz iş yükünün yaşam döngüsüne bağlıdır. İşlem kaynakları durdurulduğunda veya ölçeklendirildiğinde VM'ler ve bunların depolama alanı yok edilir.

Gereksinimler

• Azure Databricks çalışma alanınız Premium planda olmalıdır.

• Otomatik döndürmeyi etkinleştirmek istiyorsanız, yalnızca 2048 bit, 3072 bit ve 4096 bit boyutlarında RSA-HSM anahtarları desteklenir.

• FedRAMP uyumluluğuna sahip çalışma alanları için bu özellik desteklenmez. Daha fazla bilgi için Azure Databricks hesap ekibinize başvurun.

• Bu görevler için Azure CLI'yi kullanmak için Azure CLI aracını yükleyin ve Databricks uzantısını yükleyin:

  az extension add --name databricks
  

• Bu görevler için PowerShell'i kullanmak için Azure PowerShell'i yükleyin ve Databricks Powershell modülünü yükleyin. Ayrıca oturum açmanız gerekir:

  Connect-AzAccount
  

  Azure hesabınızda kullanıcı olarak oturum açmak için bkz . Azure Databricks kullanıcı hesabıyla PowerShell oturumu açma. Azure hesabınızda hizmet sorumlusu olarak oturum açmak için bkz . Microsoft Entra ID hizmet sorumlusuyla PowerShell oturumu açma.

1. Adım: Azure Key Vault Yönetilen HSM ve HSM anahtarı oluşturma

Mevcut bir Azure Key Vault Yönetilen HSM'sini kullanabilir veya Yönetilen HSM belgelerindeki hızlı başlangıçları izleyerek yeni bir tane oluşturup etkinleştirebilirsiniz. Bkz . Hızlı Başlangıç: Azure CLI kullanarak Yönetilen HSM sağlama ve etkinleştirme. Azure Key Vault Yönetilen HSM'nin Temizleme Koruması etkinleştirilmiş olmalıdır.

HSM anahtarı oluşturmak için HSM anahtarı oluşturma'yı izleyin.

2. Adım: Bir çalışma alanını başlangıçta anahtar eklemek üzere güncelleştiriyorsanız tüm işlem kaynaklarını durdurun

Başlangıçta mevcut bir çalışma alanına yönetilen diskler için müşteri tarafından yönetilen anahtar ekliyorsanız güncelleştirmeden önce tüm işlem kaynaklarınızı (kümeler, havuzlar, klasik veya profesyonel SQL ambarları) durdurun.

Güncelleştirme tamamlandıktan sonra durdurduğunuz işlem kaynaklarını başlatabilirsiniz. Yönetilen diskler için müşteri tarafından yönetilen anahtarı olan bir çalışma alanı için işlem kaynaklarını sonlandırmadan anahtarı döndürebilirsiniz.

3. Adım: Çalışma alanı oluşturma veya güncelleştirme

Azure portalını, Azure CLI'yi veya Azure PowerShell'i kullanarak yönetilen diskler için müşteri tarafından yönetilen anahtarla çalışma alanı oluşturabilir veya güncelleştirebilirsiniz.

Azure portalını kullanma

Bu bölümde, yönetilen diskler için müşteri tarafından yönetilen anahtarlarla bir çalışma alanı oluşturmak veya güncelleştirmek için Azure portalının nasıl kullanılacağı açıklanmaktadır.

1. Çalışma alanı oluşturmaya veya güncelleştirmeye başlayın:

   Anahtarla yeni bir çalışma alanı oluşturun:

   1. Azure Portalı giriş sayfasına gidin ve sayfanın sol üst köşesindeki Kaynak oluştur'a tıklayın.
   2. Arama çubuğuna yazın Azure Databricks ve Azure Databricks'e tıklayın.
   3. Azure Databricks pencere öğesinden Oluştur'u seçin.
   4. Temel bilgiler ve Ağ sekmelerindeki form alanlarına değerleri girin.
   5. Şifreleme sekmesinde, Yönetilen Diskler bölümünde Kendi anahtarınızı kullan onay kutusunu seçin.

   Başlangıçta mevcut çalışma alanına bir anahtar ekleyin:

   1. Azure portalının Azure Databricks giriş sayfasına gidin.
   2. Mevcut Azure Databricks çalışma alanınıza gidin.
   3. Sol taraftaki panelden Şifreleme sekmesini açın.
   4. Müşteri tarafından yönetilen anahtarlar bölümünde Yönetilen Diskler etkinleştirin.

2. Şifreleme alanlarını ayarlayın.

   

   • Anahtar Tanımlayıcısı alanına Yönetilen HSM anahtarınızın Anahtar Tanımlayıcısını yapıştırın.
   • Abonelik açılan listesinde Yönetilen HSM anahtarınızın abonelik adını girin.
   • Anahtarınızın otomatik döndürmesini etkinleştirmek için Anahtarın Otomatik Döndürmesini Etkinleştir'i etkinleştirin.

3. Kalan sekmeleri tamamlayın ve Gözden Geçir + Oluştur (yeni çalışma alanı için) veya Kaydet'e (çalışma alanını güncelleştirmek için) tıklayın.

4. Çalışma alanınız dağıtıldıktan sonra yeni Azure Databricks çalışma alanınıza gidin.

5. Azure Databricks çalışma alanınızın Genel Bakış sekmesinde Yönetilen Kaynak Grubu'na tıklayın.

6. Yönetilen kaynak grubunun Genel Bakış sekmesinde, bu kaynak grubunda oluşturulan Disk Şifreleme Kümesi türündeki nesneyi arayın. Bu Disk Şifreleme Kümesinin adını kopyalayın.

Azure CLI'yi kullanma

Hem yeni hem de güncelleştirilmiş çalışma alanları için komutunuza şu parametreleri ekleyin:

• disk-key-name: Yönetilen HSM adı
• disk-key-vault: Yönetilen HSM URI'sı
• disk-key-version: Yönetilen HSM sürümü
• disk-key-auto-rotation: Anahtarın (true veya false) otomatik döndürmesini etkinleştirin. Bu, isteğe bağlı bir alandır. Varsayılan değer: false.

1. Çalışma alanı oluşturma veya güncelleştirme:

   • Bu yönetilen disk parametrelerini kullanarak çalışma alanı oluşturma örneği:

     az databricks workspace create --name <workspace-name> \
     --resource-group <resource-group-name> \
     --location <location> \
     --sku premium --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   • Bu yönetilen disk parametrelerini kullanarak çalışma alanını güncelleştirme örneği:

     az databricks workspace update \
     --name <workspace-name> \
     --resource-group <resource-group-name> \
     --disk-key-name <hsm-name> \
     --disk-key-vault <hsm-uri> \
     --disk-key-version <hsm-version> \
     --disk-key-auto-rotation <true-or-false>
     

   Bu komutlardan birinin çıkışında bir managedDiskIdentity nesnesi vardır. Bu nesnenin içindeki özelliğinin principalId değerini kaydedin. Bu, daha sonraki bir adımda asıl kimlik olarak kullanılır.

PowerShell kullanma

Hem yeni hem de güncelleştirilmiş çalışma alanları için komutunuza şu parametreleri ekleyin:

• location: Çalışma alanı konumu
• ManagedDiskKeyVaultPropertiesKeyName: Yönetilen HSM adı
• ManagedDiskKeyVaultPropertiesKeyVaultUri: Yönetilen HSM URI'sı
• ManagedDiskKeyVaultPropertiesKeyVersion: Yönetilen HSM sürümü
• ManagedDiskRotationToLatestKeyVersionEnabled: Anahtarın (true veya false) otomatik döndürmesini etkinleştirin. Bu, isteğe bağlı bir alandır. Varsayılan değer false.

1. Çalışma alanı oluşturma veya güncelleştirme:

   • Yönetilen disk parametrelerini kullanarak çalışma alanı oluşturma örneği:

     $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -location <location> \
     -Sku premium \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

   • Yönetilen disk parametrelerini kullanarak çalışma alanını güncelleştirme örneği:

     $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
     -ResourceGroupName <resource-group-name> \
     -ManagedDiskKeyVaultPropertiesKeyName <key-name> \
     -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \
     -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
     

4. Adım: Yönetilen HSM rol atamasını yapılandırma

Azure Databricks çalışma alanınızın erişim iznine sahip olması için Key Vault Yönetilen HSM için rol ataması yapılandırın. Rol atamasını Azure portalı, Azure CLI veya powershell kullanarak yapılandırabilirsiniz.

Azure portal’ı kullanma

1. Azure portalında Yönetilen HSM kaynağınıza gidin.
2. Soldaki menüde, Ayarlar altında Yerel RBAC'yi seçin.
3. Ekle'yi tıklatın.
4. Rol alanında Yönetilen HSM Şifreleme Hizmeti Şifreleme Kullanıcısı'nı seçin.
5. Kapsam alanında öğesini seçinAll keys (/).
6. Güvenlik sorumlusu alanında, arama çubuğuna Azure Databricks çalışma alanınızın yönetilen kaynak grubu içindeki Disk Şifreleme Kümesi'nin adını girin. Sonucu seçin.
7. Oluştur’a tıklayın.

Azure CLI kullanma

Yönetilen HSM rol atamasını yapılandırın. değerini <hsm-name> Yönetilen HSM adınızla, değerini ise önceki adımdaki principalId kimliğiyle managedDiskIdentity değiştirin<principal-id>.

az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
    --scope "/" --hsm-name <hsm-name>
    --assignee-object-id <principal-id>

Azure PowerShell'i kullanma

değerini Yönetilen HSM adınızla değiştirin <hsm-name> .

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId

5. Adım: Önceden sonlandırılan işlem kaynaklarını başlatma

Bu adım, yalnızca çalışma alanını ilk kez anahtar ekleyecek şekilde güncelleştirdiyseniz gereklidir; bu durumda, önceki adımda çalışan işlem kaynaklarını sonlandırdınız. Yeni bir çalışma alanı oluşturduysanız veya anahtarı yalnızca döndüriyorsanız, işlem kaynakları önceki adımlarda sonlandırılmamıştır; bu durumda bu adımı atlayabilirsiniz.

1. Çalışma alanı güncelleştirmesinin tamamlandığından emin olun. Anahtar şablondaki tek değişiklikse, bu genellikle beş dakikadan kısa sürede tamamlar, aksi takdirde daha fazla zaman alabilir.
2. Daha önce sonlandırdığınız işlem kaynaklarını el ile başlatın.

İşlem kaynaklarının hiçbiri başarıyla başlatılamazsa, bunun nedeni genellikle disk şifreleme kümesine Key Vault'unuza erişim izni vermeniz gerekir.

Anahtarı daha sonra döndürme

Mevcut bir çalışma alanında zaten anahtarı olan iki tür anahtar döndürmesi vardır:

• Otomatik döndürme: Çalışma alanınız içinse rotationToLatestKeyVersionEnabledtrue , disk şifreleme kümesi anahtar sürümü değişikliğini algılar ve en son anahtar sürümüne işaret eder.
• El ile döndürme: Mevcut yönetilen disk müşteri tarafından yönetilen anahtar çalışma alanını yeni bir anahtarla güncelleştirebilirsiniz. Çalışan işlem kaynaklarını sonlandırmanız gerekmeyen önemli bir farkla, başlangıçta mevcut çalışma alanına bir anahtar ekliyor gibi yukarıdaki yönergeleri izleyin.

Her iki döndürme türü için de Azure Sanal Makine depolama hizmeti yeni anahtarı otomatik olarak alır ve veri şifreleme anahtarını şifrelemek için kullanır. Azure Databricks işlem kaynaklarınız etkilenmez. Daha fazla bilgi için Azure belgelerindeki Müşteri tarafından yönetilen anahtarlar bölümüne bakın.

Anahtarı döndürmeden önce işlem kaynaklarını sonlandırmanız gerekmez.