Azure Portal을 사용하여 DBFS에 대한 고객 관리형 키 구성

  • 아티클

참고 항목

이 기능은 프리미엄 플랜에서만 사용할 수 있습니다.

Azure Portal을 사용하여 DBFS 루트 스토리지 계정을 암호화하도록 자체 암호화 키를 구성할 수 있습니다. 이 문서에서는 Azure Key Vault 자격 증명 모음에서 사용자 고유의 키를 구성하는 방법을 설명합니다. Azure Key Vault 관리형 HSM에서 키를 사용하는 방법에 대한 지침은 Azure Portal을 사용하여 DBFS에 대한 HSM 고객 관리형 키 구성을 참조 하세요.

DBFS에 대한 고객 관리형 키에 대한 자세한 내용은 DBFS 루트에 대한 고객 관리형 키를 참조하세요.

Azure Key Vault에서 키 만들기

이 섹션에서는 Azure Key Vault에서 키를 만드는 방법을 설명합니다. 작업 영역과 동일한 Microsoft Entra ID(이전의 Azure Active Directory) 테넌트에 있는 Key Vault를 사용해야 합니다.

동일한 지역에 기존 Key Vault가 이미 있는 경우 이 절차의 첫 번째 단계를 건너뛸 수 있습니다. 그러나 Azure Portal을 사용하여 DBFS 루트 암호화에 고객 관리형 키를 할당하는 경우 시스템은 Key Vault에 대해 기본적으로 일시 삭제제거 안 함 속성을 사용하도록 설정합니다. 이러한 속성에 대한 자세한 내용은 Azure Key Vault 일시 삭제 개요를 참조하세요.

  1. 빠른 시작의 지침에 따라 Key Vault를 만듭니다. Azure Portal을 사용하여 Azure Key Vault에서 키를 설정하고 검색합니다.

    Azure Databricks 작업 영역과 Key Vault는 동일한 지역 및 동일한 Microsoft Entra ID 테넌트에 있어야 하지만 서로 다른 구독에 있을 수 있습니다.

  2. 빠른 시작의 지침을 계속 따라 Key Vault에 키를 만듭니다.

    DBFS 루트 스토리지는 2048, 3072, 4096 크기의 RSA 및 RSA-HSM 키를 지원합니다. 키에 관한 자세한 내용은 Key Vault 키 정보를 참조하세요.

  3. 키가 만들어지면 키 식별자를 복사하여 텍스트 편집기에 붙여넣습니다. Azure Databricks에 대한 키를 구성할 때 필요합니다.

키를 사용하여 DBFS 루트 스토리지 계정 암호화

  1. Azure Portal에서 Azure Databricks 서비스 리소스로 이동합니다.

  2. 왼쪽 메뉴의 설정에서 암호화를 선택합니다.

    Encryption option for Azure Databricks

  3. 사용자 고유의 키 사용을 선택하여 키의 키 식별자를 입력하고, 키가 포함된 구독을 선택합니다. 키 버전이 제공되지 않으면 키의 최신 버전이 사용됩니다. 관련 정보는 주요 버전에 대한 Azure 설명서 문서를 참조하세요.

    Enable customer-managed keys in Azure portal

  4. 저장을 클릭하여 키 구성을 저장합니다.

    참고 항목

    Key Vault에 대한 Key Vault 기여자 역할 이상이 있는 사용자만 저장할 수 있습니다.

암호화를 사용하도록 설정하면 시스템에서 Key Vault에서 일시 삭제제거 보호를 사용하도록 설정하고, DBFS 루트에 관리 ID를 만들고, Key Vault에서 이 ID에 대한 액세스 정책을 추가합니다.

(회전) 키 다시 생성

키를 다시 생성할 때 Azure Databricks 서비스 리소스의 암호화 페이지로 돌아가서 새 키 식별자를 사용하여 키 식별자 필드를 업데이트하고 저장을 클릭해야 합니다. 이는 새 키뿐만 아니라 동일한 키의 새 버전에도 적용됩니다.

Important

암호화에 사용되는 키를 삭제하면 DBFS 루트의 데이터에 액세스할 수 없습니다. Azure Key Vault API를 사용하여 삭제된 키를 복구할 수 있습니다.