Freigeben über

Konfigurieren von kundenseitig verwalteten HSM-Schlüsseln für DBFS über das Azure-Portal

  • Artikel

Hinweis

Dieses Feature ist nur im Premium-Plan verfügbar.

Sie können das Azure-Portal verwenden, um Ihren eigenen Verschlüsselungsschlüssel für das Verschlüsseln des DBFS-Stammspeicherkontos zu konfigurieren. In diesem Artikel wird beschrieben, wie Sie Ihren eigenen Schlüssel aus Azure Key Vault Managed HSM konfigurieren. Eine Anleitung zur Verwendung eines Schlüssels aus Azure Key Vault-Tresoren finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln für DBFS über das Azure-Portal.

Wichtig

Key Vault muss sich im selben Azure-Mandanten wie Ihr Azure Databricks-Arbeitsbereich befinden.

Weitere Informationen zu kundenseitig verwalteten Schlüsseln für DBFS finden Sie unter Kundenseitig verwaltete Schlüssel für den DBFS-Stamm.

Erstellen eines in Azure Key Vault verwalteten HSM und eines HSM-Schlüssels

Sie können ein vorhandenes in Azure Key Vault verwaltetes HSM verwenden oder ein neues wie in Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe der Azure CLI beschrieben aktivieren. Für das in Azure Key Vault verwaltete HSM muss Löschschutz aktiviert sein.

Um einen HSM-Schlüssel zu erstellen, folgen Sie den Anweisungen unter Erstellen eines HSM-Schlüssels.

Vorbereiten des DBFS-Stammspeicherkontos

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Databricks-Dienstressource.

  2. Wählen Sie im VM-Menü unter Automation die Option Vorlage exportieren aus.

  3. Klicken Sie auf Bereitstellen.

  4. Klicken Sie auf Vorlage bearbeiten, suchen Sie nach prepareEncryption, und ändern Sie den Tresor in den Typ true. Beispiel:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Klicken Sie auf Speichern.

  6. Klicken Sie zum Bereitstellen der Änderung auf Überprüfen + erstellen.

  7. Klicken Sie rechts unter Essentials auf JSON-Ansicht.

  8. Suchen Sie nach storageAccountIdentity, und kopieren Sie die principalId.

Konfigurieren der Rollenzuweisung für verwaltetes HSM

  1. Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
  2. Wählen Sie im Menü links unter Einstellungen die Option Lokale RBAC aus.
  3. Klicken Sie auf Hinzufügen.
  4. Wählen Sie im Feld Rolle die Option Managed HSM Crypto Service Encryption User (Benutzer der Kryptografiedienstverschlüsselung für verwaltete HSMs) aus.
  5. Wählen Sie im Feld Bereich die Option All keys (/) aus.
  6. Geben Sie im Feld Sicherheitsprinzipal den principalId des DBFS-Stammspeicherkontos in der Suchleiste ein. Wählen Sie das Ergebnis aus.
  7. Klicken Sie auf Erstellen.
  8. Wählen Sie im linken Menü unter Einstellungen die Option Schlüssel aus, und wählen Sie Ihren Schlüssel aus.
  9. Kopieren Sie den Text in das Feld Schlüsselbezeichner.

Verschlüsseln des DBFS-Stammspeicherkontos mit Ihrem HSM-Schlüssel

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Databricks-Dienstressource.
  2. Wählen Sie im linken Menü unter Einstellungen die Option Verschlüsselung aus.
  3. Wählen Sie Eigenen Schlüssel verwenden aus, geben Sie den Schlüsselbezeichner Ihres verwalteten HSM-Schlüssels ein, und wählen Sie das Abonnement mit dem Schlüssel aus.
  4. Klicken Sie zum Speichern der Schlüsselkonfiguration auf Speichern.

Erneutes Generieren (Rotieren) von Schlüsseln

Wenn Sie einen Schlüssel erneut generieren, müssen Sie in Ihrer Azure Databricks-Dienstressource zur Seite Verschlüsselung zurückkehren, das Feld Schlüsselbezeichner mit Ihrem neuen Bezeichner aktualisieren und auf Speichern klicken. Dies gilt sowohl für neue Versionen desselben Schlüssels als auch für neue Schlüssel.

Wichtig

Wenn Sie den zur Verschlüsselung verwendeten Schlüssel löschen, kann auf die Daten im DBFS-Stamm nicht mehr zugegriffen werden.