Guide d’utilisation des zones de chiffrement HDFS dans Clusters Big Data SQL Server

S’applique à : SQL Server 2019 (15.x)

Cet article décrit comment utiliser les fonctionnalités de chiffrement au repos des Clusters Big Data SQL Server pour chiffrer des dossiers HDFS à l’aide des zones de chiffrement. Il aborde également les tâches de gestion des clés HDFS.

Une zone de chiffrement par défaut, au niveau de /securelake, est prête à être utilisée. Elle a été créée avec une clé 256 bits générée par le système et nommée securelakekey. Cette clé peut être utilisée pour créer d’autres zones de chiffrement.

Prérequis

• Cluster Big Data SQL Server CU8+ avec intégration à Active Directory.
• Utilisateur de Clusters Big Data SQL Server avec des privilèges d’administration de Kubernetes, un membre du rôle clusterAdmins. Pour plus d’informations, consultez Gérer l’accès au cluster Big Data en mode Active Directory.
• Azure Data CLI (azdata) configuré et connecté au cluster en mode AD.

Créer une zone de chiffrement à l’aide de la clé managée par le système fournie

1. Créez votre dossier HDFS à l’aide de cette commande azdata :

   azdata bdc hdfs mkdir --path /user/zone/folder
   

2. Émettez la commande de création de zone de chiffrement pour chiffrer le dossier à l’aide de la clé securelakekey.

   azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
   

Gérer les zones de chiffrement lors de l’utilisation de fournisseurs externes

Pour plus d’informations sur la façon dont les versions de clé sont utilisées sur le chiffrement au repos Clusters Big Data SQL Server, consultez Rotation de clés principales pour HDFS pour obtenir un exemple de bout en bout de la façon de gérer les zones de chiffrement lors de l’utilisation des fournisseurs de clés externes.

Créer une nouvelle clé et une zone de chiffrement personnalisées

1. Utilisez le modèle suivant pour créer une clé de 256 bits.

   azdata bdc hdfs key create --name mydatalakekey
   

2. Créez et chiffrez un nouveau chemin d’accès HDFS à l’aide de la clé utilisateur.

   azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
   

Rotation des clés HDFS et rechiffrement des zones de chiffrement

1. Cette approche crée une nouvelle version de securelakekey avec du nouveau matériel clé.

   azdata hdfs bdc key roll --name securelakekey
   

2. Rechiffrez la zone de chiffrement associée à la clé ci-dessus.

   azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
   

Supervision de la clé et de la zone de chiffrement HDFS

• Pour analyser l’état d’un rechiffrage d’une zone de chiffrement, utilisez cette commande :

  azdata bdc hdfs encryption-zone status
  

• Pour obtenir les informations de chiffrement relatives à un fichier dans une zone de chiffrement, utilisez cette commande :

  azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv
  

• Pour répertorier toutes les zones de chiffrement, utilisez cette commande :

  azdata bdc hdfs encryption-zone list
  

• Pour répertorier toutes les clés disponibles pour HDFS, utilisez cette commande :

  azdata bdc hdfs key list
  

• Pour créer une clé personnalisée pour le chiffrement HDFS, utilisez cette commande :

  azdata hdfs key create --name key1 --size 256
  

  Les tailles possibles sont 128, 192 256. La valeur par défaut est 256.

Étapes suivantes

Utilisez azdata avec Clusters Big Data, consultez Présentation de Clusters de Big Data SQL Server 2019.

Pour utiliser un fournisseur de clés externes pour le chiffrement au repos, consultez Fournisseurs de clés externes dans Clusters Big Data SQL Server.

• Guide d’utilisation du TDE (Transparent Data Encryption) au repos Clusters Big Data SQL Server
• Versions des clés dans Clusters Big Data SQL Server