Delen via

Door de klant beheerde HSM-sleutels voor DBFS configureren met behulp van Azure Portal

  • Artikel

Notitie

Deze functie is alleen beschikbaar in het Premium-abonnement.

U kunt Azure Portal gebruiken om uw eigen versleutelingssleutel te configureren voor het versleutelen van het opslagaccount van de werkruimte. In dit artikel wordt beschreven hoe u uw eigen sleutel configureert vanuit azure Key Vault Managed HSM. Zie Door de klant beheerde sleutels configureren voor DBFS met behulp van Azure Portal voor instructies over het gebruik van een sleutel uit Azure Key Vault-kluizen.

Belangrijk

De Key Vault moet zich in dezelfde Azure-tenant bevinden als uw Azure Databricks-werkruimte.

Zie voor meer informatie over door de klant beheerde sleutels voor DBFS de door de klant beheerde sleutels voor de DBFS-hoofdmap.

Een door Azure Key Vault beheerde HSM en een HSM-sleutel maken

U kunt een bestaande beheerde HSM van Azure Key Vault gebruiken of een nieuwe quickstart maken en activeren: Een beheerde HSM inrichten en activeren met behulp van Azure CLI. Voor de beheerde HSM van Azure Key Vault moet Purge Protection zijn ingeschakeld.

Als u een HSM-sleutel wilt maken, volgt u Een HSM-sleutel maken.

Het opslagaccount van de werkruimte voorbereiden

  1. Ga naar uw Azure Databricks-serviceresource in Azure Portal.

  2. Selecteer in het linkermenu onder Automation de optie Sjabloon Exporteren.

  3. Klik op Implementeren.

  4. Klik op Sjabloon bewerken, zoek prepareEncryptionen wijzig de kluis om te true typen. Voorbeeld:

      "prepareEncryption": {
           "type": "Bool",
           "value": "true"
        }

  5. Klik op Opslaan.

  6. Klik op Controleren + Maken om de wijziging te implementeren.

  7. Klik aan de rechterkant onder Essentials op JSON-weergave.

  8. storageAccountIdentityZoek en kopieer de principalId.

De toewijzing van de beheerde HSM-rol configureren

  1. Ga naar uw beheerde HSM-resource in Azure Portal.
  2. Selecteer in het linkermenu onder Instellingen lokale RBAC.
  3. Klik op Toevoegen.
  4. Selecteer in het veld Rol de optie Versleutelingsgebruiker voor beheerde HSM-cryptoservice.
  5. Selecteer in het veld Bereik de optie All keys (/).
  6. Voer in het veld Beveiligingsprincipaal het principalId opslagaccount van de werkruimte in de zoekbalk in. Selecteer het resultaat.
  7. Klik op Create.
  8. Selecteer in het linkermenu onder Instellingen sleutels en selecteer uw sleutel.
  9. Kopieer de tekst in het veld Sleutel-id .

Het opslagaccount van de werkruimte versleutelen met behulp van uw HSM-sleutel

  1. Ga naar uw Azure Databricks-serviceresource in Azure Portal.
  2. Selecteer Versleuteling in het linkermenu onder Instellingen.
  3. Selecteer Uw eigen sleutel gebruiken, voer de sleutel-id van uw beheerde HSM-sleutel in en selecteer het abonnement dat de sleutel bevat.
  4. Klik op Opslaan om de sleutelconfiguratie op te slaan.

Sleutels opnieuw genereren (draaien)

Wanneer u een sleutel opnieuw genereert, moet u terugkeren naar de pagina Versleuteling in uw Azure Databricks-serviceresource, het veld Sleutel-id bijwerken met uw nieuwe sleutel-id en op Opslaan klikken. Dit geldt voor nieuwe versies van dezelfde sleutel en nieuwe sleutels.

Belangrijk

Als u de sleutel verwijdert die wordt gebruikt voor versleuteling, kunnen de gegevens in de DBFS-hoofdmap niet worden geopend.