Partilhar via


Guia de uso de zonas de criptografia HDFS em Clusters de Big Data do SQL Server

Aplica-se a: SQL Server 2019 (15.x)

Importante

O complemento Clusters de Big Data do Microsoft SQL Server 2019 será desativado. O suporte para Clusters de Big Data do SQL Server 2019 será encerrado em 28 de fevereiro de 2025. Todos os usuários existentes do SQL Server 2019 com Software Assurance terão suporte total na plataforma e o software continuará a ser mantido por meio de atualizações cumulativas do SQL Server até esse momento. Para obter mais informações, confira a postagem no blog de anúncio e as opções de Big Data na plataforma do Microsoft SQL Server.

Este artigo mostra como usar os recursos de criptografia em repouso dos Clusters de Big Data do SQL Server para criptografar pastas do HDFS usando Zonas de Criptografia. Ele também descreve as tarefas de gerenciamento de chaves do HDFS.

Uma zona de criptografia padrão, em /securelake, está pronta para ser usada. Ela foi criada com uma chave de 256 bits gerada pelo sistema chamada securelakekey. Essa chave pode ser usada para criar outras zonas de criptografia.

Pré-requisitos

Criar uma zona de criptografia usando a chave gerenciada fornecida pelo sistema

  1. Crie sua pasta HDFS usando este comando azdata:

    azdata bdc hdfs mkdir --path /user/zone/folder
    
  2. Emita o comando de criação de zona de criptografia para criptografar a pasta usando a chave securelakekey.

    azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
    

Gerenciar zonas de criptografia ao usar provedores externos

Para obter mais informações sobre como as versões de chave são usadas nos Clusters de Big Data com criptografia em repouso do SQL Server, confira Rotação de chave principal do HDFS para obter um exemplo de ponta a ponta de como gerenciar zonas de criptografia ao usar provedores de chaves externas.

Criar chave e zona de criptografia personalizadas

  1. Use o padrão a seguir para criar uma chave de 256 bits.

    azdata bdc hdfs key create --name mydatalakekey
    
  2. Crie e criptografe um caminho do HDFS usando a chave de usuário.

    azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
    

Rotação de chaves do HDFS e nova criptografia da zona de criptografia

  1. Essa abordagem cria uma versão do securelakekey com o novo material de chave.

    azdata hdfs bdc key roll --name securelakekey
    
  2. Criptografar novamente a zona de criptografia associada à chave acima.

    azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
    

Monitoramento de zona de criptografia e da chave do HDFS

  • Para monitorar o status de uma nova criptografia da zona de criptografia, use este comando:

    azdata bdc hdfs encryption-zone status
    
  • Para obter as informações de criptografia sobre um arquivo em uma zona de criptografia, use este comando:

    azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv
    
  • Para listar todas as zonas de criptografia, use este comando:

    azdata bdc hdfs encryption-zone list
    
  • Para listar todas as chaves disponíveis no HDFS, use este comando:

    azdata bdc hdfs key list
    
  • Para criar uma chave personalizada para a criptografia do HDFS, use este comando:

    azdata hdfs key create --name key1 --size 256
    

    Os tamanhos possíveis são 128, 192 256. O padrão é 256.

Próximas etapas

Usar o azdata com Clusters de Big Data, confira Introdução aos Clusters de Big Data do SQL Server 2019.

Para usar um provedor de chaves externas para criptografia em repouso, confira Provedores de chave externa em clusters de Big Data do SQL Server.