Azure Portal을 사용하여 DBFS에 대한 HSM 고객 관리형 키 구성

Azure Portal을 사용하여 작업 영역 스토리지 계정을 암호화하도록 사용자 고유의 암호화 키를 구성할 수 있습니다. 이 문서에서는 Azure Key Vault 관리형 HSM에서 사용자 고유의 키를 구성하는 방법을 설명합니다. Azure Key Vault 자격 증명 모음에서 키를 사용하는 방법에 대한 지침은 Azure Portal을 사용하여 DBFS에 대한 고객 관리형 키 구성을 참조 하세요.

DBFS에 대한 고객 관리형 키에 대한 자세한 내용은 DBFS 루트에 대한 고객 관리형 키를 참조하세요.

Azure Key Vault 관리형 HSM 및 HSM 키 만들기

기존 Azure Key Vault 관리형 HSM을 사용하거나 Azure CLI를 사용하여 관리형 HSM을 프로비전 및 활성화하는 빠른 시작에 따라 새 HSM을 만들고 활성화할 수 있습니다. Azure Key Vault 관리형 HSM에는 퍼지 보호가 사용하도록 설정되어 있어야 합니다.

HSM 키를 만들려면 HSM 키 만들기를 따릅니다.

작업 영역 스토리지 계정 준비

1. Azure Portal에서 Azure Databricks 서비스 리소스로 이동합니다.

2. 왼쪽 메뉴의 Automation에서 템플릿 내보내기를 선택합니다.

3. 배포을 참조하십시오.

4. 템플릿 편집을 클릭하고 자격 증명 모음을 prepareEncryption검색하여 입력하도록 true 수정합니다. 예시:

     "prepareEncryption": {
              "type": "Bool",
              "value": "true"
           }
   

5. 저장을 클릭합니다.

6. 검토 + 만들기를 클릭하여 변경 내용을 배포합니다.

7. 오른쪽의 Essentials 아래에서 JSON 보기를 클릭합니다.

8. 를 검색 storageAccountIdentity하고 복사합니다 principalId.

관리형 HSM 역할 할당 구성

1. Azure 포털에서 관리되는 HSM 리소스로 이동합니다.
2. 왼쪽 메뉴의 설정 아래에서 로컬 RBAC를 선택합니다.
3. 추가를 클릭합니다.
4. 역할 필드에서 관리형 HSM 암호화 서비스 암호화 사용자를 선택합니다.
5. 범위 필드에서 .를 선택합니다All keys (/).
6. 보안 주체 필드에서 검색 창에 작업 영역 스토리지 계정의 값을 입력 principalId 합니다. 결과를 선택합니다.
7. 만들기를 클릭합니다.
8. 왼쪽 메뉴의 설정에서 키를 선택하고 키를 선택합니다.
9. 키 식별자 필드에서 텍스트를 복사합니다.

HSM 키를 사용하여 작업 영역 스토리지 계정 암호화

1. Azure Portal에서 Azure Databricks 서비스 리소스로 이동합니다.
2. 왼쪽 메뉴의 설정에서 암호화를 선택합니다.
3. 사용자 고유의 키 사용을 선택하고, 관리형 HSM 키의 키 식별자를 입력하고, 키가 포함된 구독을 선택합니다.
4. 저장을 클릭하여 키 구성을 저장합니다.

(회전) 키 다시 생성

키를 다시 생성할 때 Azure Databricks 서비스 리소스의 암호화 페이지로 돌아가서 새 키 식별자를 사용하여 키 식별자 필드를 업데이트하고 저장을 클릭해야 합니다. 이는 새 키뿐만 아니라 동일한 키의 새 버전에도 적용됩니다.