SQL Server 빅 데이터 클러스터의 HDFS 암호화 영역 사용 가이드

적용 대상: SQL Server 2019(15.x)

중요

Microsoft SQL Server 2019 빅 데이터 클러스터 추가 기능이 사용 중지됩니다. SQL Server 2019 빅 데이터 클러스터에 대한 지원은 2025년 2월 28일에 종료됩니다. Software Assurance를 사용하는 SQL Server 2019의 모든 기존 사용자는 플랫폼에서 완전히 지원되며, 소프트웨어는 지원 종료 시점까지 SQL Server 누적 업데이트를 통해 계속 유지 관리됩니다. 자세한 내용은 공지 블로그 게시물 및 Microsoft SQL Server 플랫폼의 빅 데이터 옵션을 참조하세요.

이 문서에서는 SQL Server 빅 데이터 클러스터의 미사용 데이터 암호화 기능을 사용하여 암호화 영역을 사용하여 HDFS 폴더를 암호화하는 방법을 보여 줍니다. 또한 HDFS 키 관리 작업도 설명합니다.

/securelake의 기본 암호화 영역을 사용할 준비가 되었습니다. 이 영역은 securelakekey이라는 이름의 시스템 생성 256비트 키로 만들어졌습니다. 이 키를 기타 암호화 영역을 만드는 데 사용할 수 있습니다.

필수 조건

• Active Directory 통합이 포함된 SQL Server 빅 데이터 클러스터 CU8 이상.
• Kubernetes 관리자 권한이 있는 SQL Server 빅 데이터 클러스터 사용자인 clusterAdmins 역할의 멤버입니다. 자세한 내용은 Active Directory 모드에서 빅 데이터 클러스터 액세스 관리를 참조하세요.
• AD 모드의 클러스터에 구성되고 로그인된 Azure Data CLI(azdata)입니다.

제공된 시스템 관리형 키를 사용하여 암호화 영역 만들기

1. 다음 azdata 명령을 사용하여 HDFS 폴더를 만듭니다.

   azdata bdc hdfs mkdir --path /user/zone/folder
   

2. securelakekey 키를 사용하여 폴더를 암호화하는 암호화 영역 만들기 명령을 실행합니다.

   azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
   

외부 공급자를 사용하는 경우의 암호화 영역 관리

미사용 SQL Server 빅 데이터 클러스터 암호화에 키 버전을 사용하는 방법에 대한 자세한 내용은 외부 키 공급자를 사용할 때 암호화 영역을 관리하는 방법에 대한 엔드투엔드 예제에 대한 HDFS에 대한 기본 키 회전을 참조하세요.

사용자 지정 새 키 및 암호화 영역 만들기

1. 다음 패턴을 사용하여 256비트 키를 만듭니다.

   azdata bdc hdfs key create --name mydatalakekey
   

2. 사용자 키를 사용하여 새로운 HDFS 경로를 만들고 암호화합니다.

   azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
   

HDFS 키 회전 및 암호화 영역 다시 암호화

1. 이 접근 방식은 새 키 자료로 securelakekey의 새 버전을 만듭니다.

   azdata hdfs bdc key roll --name securelakekey
   

2. 위 키와 연결된 암호화 영역을 다시 암호화합니다.

   azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
   

HDFS 키 및 암호화 영역 모니터링

• 암호화 영역 다시 암호화의 상태를 모니터링하려면 다음 명령을 사용합니다.

  azdata bdc hdfs encryption-zone status
  

• 암호화 영역에 있는 파일에 관한 암호화 정보를 가져오려면 다음 명령을 사용합니다.

  azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv
  

• 모든 암호화 영역을 나열하려면 다음 명령을 사용합니다.

  azdata bdc hdfs encryption-zone list
  

• HDFS에 사용 가능한 모든 키를 나열하려면 다음 명령을 사용합니다.

  azdata bdc hdfs key list
  

• HDFS 암호화에 대한 사용자 지정 키를 만들려면 다음 명령을 사용합니다.

  azdata hdfs key create --name key1 --size 256
  

  가능한 크기는 128, 192, 256입니다. 기본값은 256입니다.

다음 단계

빅 데이터 클러스터와 함께 azdata를 사용하여 SQL Server 2019 빅 데이터 클러스터 소개를 참조하세요.

미사용 데이터 암호화에 대해 외부 키 공급자를 사용하려면 SQL Server 빅 데이터 클러스터의 외부 키 공급자를 참조하세요.

• SQL Server 빅 데이터 클러스터 TDE(투명한 데이터 암호화) 미사용 데이터 암호화 사용 가이드
• SQL Server 빅 데이터 클러스터의 키 버전