Configurare chiavi del modulo di protezione hardware gestite dal cliente per dischi gestiti di Azure
I carichi di lavoro di calcolo di Azure Databricks nel piano di calcolo archiviano i dati temporanei nei dischi gestiti di Azure. Per impostazione predefinita, i dati archiviati nei dischi gestiti vengono crittografati inattivi usando la crittografia lato server con chiavi gestite da Microsoft. Questo articolo descrive come configurare una chiave gestita dal cliente dal modulo di protezione hardware di Azure Key Vault per l'area di lavoro di Azure Databricks, da usare per la crittografia del disco gestito. Per istruzioni sull'uso di una chiave dall’insieme di credenziali di Azure Key Vault, si veda Configurare le chiavi gestite dal cliente per i dischi gestiti in Azure.
Importante
- Le chiavi gestite dal cliente per l'archiviazione su disco gestito si applicano ai dischi dati, ma non si applicano ai dischi del sistema operativo.
- Le chiavi gestite dal cliente per l'archiviazione su disco gestito non si applicano alle risorse di calcolo serverless, come i warehouse SQL serverless e la gestione dei modelli. I dischi usati per le risorse di calcolo serverless sono di breve durata e legati al ciclo di vita del carico di lavoro serverless. Quando le risorse di calcolo vengono arrestate o ridimensionate, le VM e le relative risorse di archiviazione vengono eliminate definitivamente.
Requisiti
Per l'area di lavoro di Azure Databricks deve essere stato selezionato il piano Premium.
Se si desidera abilitare la rotazione automatica, sono supportate solo chiavi RSA-HSM di dimensioni a 2048 bit, 3072 bit e 4096 bit.
Questa funzionalità non è supportata per le aree di lavoro con conformità FedRAMP. Per maggiori informazioni, contattare il team dell'account di Azure Databricks.
Per usare l'interfaccia della riga di comando di Azure per queste attività, installare lo strumento dell'interfaccia della riga di comando di Azure e installare l'estensione Databricks:
az extension add --name databricksPer usare PowerShell per queste attività, installare Azure PowerShell e installare il modulo Databricks PowerShell. È anche necessario eseguire l'accesso:
Connect-AzAccountPer accedere all'account Azure come utente, vedere Accesso di PowerShell con un account utente di Azure Databricks. Per accedere all'account Azure come entità servizio, si veda Accesso a PowerShell con un'entità servizio Microsoft Entra ID.
Passaggio 1: Creare un HSM gestito da Azure Key Vault e una chiave del modulo di protezione hardware
È possibile usare un modulo di protezione hardware gestito di Azure Key Vault esistente oppure crearne uno nuovo seguendo le guide introduttive nella documentazione per un HSM gestito. Si veda Avvio rapido: Effettuare il provisioning di un modulo di protezione hardware gestito e attivarlo tramite l'interfaccia della riga di comando di Azure. Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva.
Per creare una chiave HSM, seguire le istruzioni contenute in Creare una chiave HSM.
Passaggio 2: Arrestare tutte le risorse di calcolo
Terminare tutte le risorse di calcolo (cluster, pool e warehouse SQL) dell'area di lavoro.
Passaggio 3: Creare o aggiornare un'area di lavoro
È possibile creare o aggiornare un'area di lavoro con una chiave gestita dal cliente per i dischi gestiti utilizzando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.
Usare il portale di Azure
Questa sezione descrive come usare il portale di Azure per creare o aggiornare un'area di lavoro con chiavi gestite dal cliente per i dischi gestiti.
Iniziare creando o aggiornando un'area di lavoro:
Creare una nuova area di lavoro con una chiave:
- Andare alla home page del portale di Azure and fare clic sull'opzione Crea una risorsa in alto a sinistra.
- Nella barra di ricerca digitare
Azure Databrickse fare clic su Azure Databricks. - Selezionare Crea dall'interno del widget Azure Databricks.
- Immettere i valori nei campi modulo delle schede Informazioni di base e Rete.
- Nella scheda Crittografia selezionare la casella di controllo Usa chiave propria nella sezione Dischi gestiti.
Aggiungere una chiave a un'area di lavoro esistente:
- Passare alla home page del portale di Azure per Azure Databricks.
- Passare all'area di lavoro esistente di Azure Databricks.
- Aprire la scheda Crittografia nel riquadro a sinistra.
- Nella sezione Chiavi gestite dal cliente abilitare Dischi gestiti.
Impostare i campi di crittografia.
- Nel campo Identificatore chiave incollare l'identificatore della chiave dell’HSM gestito.
- Nell'elenco a discesa Sottoscrizione immettere il nome della sottoscrizione della chiave dell’HSM gestito.
- Per abilitare la rotazione automatica della chiave, attivare l’opzione Abilita rotazione automatica della chiave.
Compilare le schede rimanenti e fare clic su Rivedi + crea (per una nuova area di lavoro) oppure su Salva (per aggiornare un'area di lavoro esistente).
Una volta implementata l'area di lavoro, passare alla nuova area di lavoro di Azure Databricks.
Nella scheda Panoramica dell'area di lavoro di Azure Databricks fare clic su Gruppo di risorse gestite.
Nella scheda Panoramica del gruppo di risorse gestite cercare l'oggetto di tipo Set di crittografia dischi creato nel gruppo di risorse. Copiare il nome del set di crittografia dischi.
Usare l'interfaccia della riga di comando di Azure
Per le aree di lavoro nuove e aggiornate, aggiungere questi parametri al comando:
-
disk-key-name: nome del modulo di protezione hardware gestito -
disk-key-vault: URI del modulo di protezione hardware gestito -
disk-key-version: versione del modulo di protezione hardware gestita. Usare la versione della chiave specifica e nonlatest. -
disk-key-auto-rotation: Abilita la rotazione automatica della chiave (trueofalse). Questo campo è facoltativo. Il valore predefinito èfalse.
Creare o aggiornare un'area di lavoro:
Esempio di creazione di un'area di lavoro usando questi parametri del disco gestito:
az databricks workspace create --name <workspace-name> \ --resource-group <resource-group-name> \ --location <location> \ --sku premium --disk-key-name <hsm-name> \ --disk-key-vault <hsm-uri> \ --disk-key-version <hsm-version> \ --disk-key-auto-rotation <true-or-false>Esempio di aggiornamento di un'area di lavoro usando questi parametri del disco gestito:
az databricks workspace update \ --name <workspace-name> \ --resource-group <resource-group-name> \ --disk-key-name <hsm-name> \ --disk-key-vault <hsm-uri> \ --disk-key-version <hsm-version> \ --disk-key-auto-rotation <true-or-false>
Nell'output di uno di questi comandi è presente un oggetto
managedDiskIdentity. Salvare il valore della proprietàprincipalIddell'oggetto. Viene utilizzato in un passaggio successivo come ID entità.
Usare PowerShell
Per le aree di lavoro nuove e aggiornate, aggiungere questi parametri al comando:
-
location: Posizione nell'area di lavoro -
ManagedDiskKeyVaultPropertiesKeyName: nome del modulo di protezione hardware gestito -
ManagedDiskKeyVaultPropertiesKeyVaultUri: URI del modulo di protezione hardware gestito -
ManagedDiskKeyVaultPropertiesKeyVersion: versione del modulo di protezione hardware gestita. Usare la versione della chiave specifica e nonlatest. -
ManagedDiskRotationToLatestKeyVersionEnabled: Abilita la rotazione automatica della chiave (trueofalse). Questo campo è facoltativo. L'impostazione predefinita è false.
- Creare o aggiornare un'area di lavoro:
Esempio di creazione di un'area di lavoro utilizzando parametri del disco gestito:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -location <location> \ -Sku premium \ -ManagedDiskKeyVaultPropertiesKeyName <key-name> \ -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \ -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabledEsempio di aggiornamento di un'area di lavoro utilizzando parametri del disco gestito:
$workspace = Update-AzDatabricksworkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -ManagedDiskKeyVaultPropertiesKeyName <key-name> \ -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \ -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
Passaggio 4: Configurare l'assegnazione di ruolo del modulo di protezione hardware gestito
Configurare un'assegnazione di ruolo per il modulo di protezione hardware gestito di Key Vault in modo che l'area di lavoro di Azure Databricks disponga dell'autorizzazione per accedervi. È possibile configurare un’assegnazione di ruolo usando il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell.
Usare il portale di Azure
- Passare alla risorsa modulo di protezione hardware gestito nel portale di Azure.
- Nel menu a sinistra, in Impostazioni selezionare Controllo locale degli accessi in base al ruolo.
- Fare clic su Aggiungi.
- Nel campo Ruolo, selezionare Utente servizio crittografia HSM gestito.
- Nel campo Ambito scegliere
All keys (/). - Nel campo Entità di sicurezza immettere nella barra di ricerca il nome del set di crittografia dischi nel gruppo di risorse gestite dell'area di lavoro di Azure Databricks. Selezionare i risultati
- Cliccare su Crea.
Utilizzare l'interfaccia della riga di comando di Azure
Configurare l'assegnazione di ruolo del modulo di protezione hardware gestito Sostituire <hsm-name> con il nome del modulo di protezione hardware gestito e sostituire <principal-id> con l'ID principale di managedDiskIdentity indicata nel passaggio precedente.
az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
--scope "/" --hsm-name <hsm-name>
--assignee-object-id <principal-id>
Usare Azure PowerShell
Sostituire <hsm-name> con il nome del modulo di protezione hardware gestito.
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId
Passaggio 5: Avviare le risorse di calcolo terminate in precedenza
- Verificare che l'aggiornamento dell'area di lavoro sia completato. Se la chiave è stata l'unica modifica al modello, questa operazione viene in genere completata in meno di cinque minuti, altrimenti potrebbe richiedere più tempo.
- Avviare manualmente tutte le risorse di calcolo terminate in precedenza.
Se l'avvio di una risorsa di calcolo non riesce, in genere è necessario concedere al set di crittografia del disco le autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi.
Ruotare la chiave in un secondo momento
Esistono due tipi di rotazioni delle chiavi in un'area di lavoro esistente in cui c’è già una chiave:
- Rotazione automatica: se
rotationToLatestKeyVersionEnabledètrueper l'area di lavoro, il set di crittografia del disco rileva la modifica della versione della chiave e punta alla versione della chiave più recente. - Rotazione manuale: è possibile aggiornare un'area di lavoro esistente di chiavi gestite dal cliente con una nuova chiave. Seguire le istruzioni riportate in precedenza come per l’aggiunta iniziale di una chiave all'area di lavoro esistente.