Включение ключей, управляемых клиентом HSM для управляемых служб

В этой статье описывается настройка собственного ключа из управляемого HSM в Azure Key Vault. Инструкции по использованию ключа из хранилищ Azure Key Vault см. в статье "Включение управляемых клиентом ключей для управляемых служб".

Требования

• Чтобы использовать Azure CLI для этих задач, установите средство Azure CLI и установите расширение Databricks:

  az extension add --name databricks
  

• Чтобы использовать PowerShell для этих задач, установите Azure PowerShell и установите модуль Databricks PowerShell. Кроме того, необходимо войти в систему:

  Connect-AzAccount
  

  Сведения о входе в учетную запись Azure в качестве пользователя см. в статье "Вход в PowerShell" с учетной записью пользователя Azure Databricks. Чтобы войти в учетную запись Azure в качестве субъекта-службы, ознакомьтесь с именем входа PowerShell с помощью субъекта-службы Идентификатора Microsoft Entra.

Шаг 1. Создание управляемого HSM в Azure Key Vault и ключа HSM

Вы можете использовать существующий управляемый HSM в Azure Key Vault или создать и активировать новую, следуя кратким руководствам в документации по управляемому HSM. См . краткое руководство. Подготовка и активация управляемого устройства HSM с помощью Azure CLI. Управляемый модуль HSM в Azure Key Vault должен иметь включенную защиту очистки.

Чтобы создать ключ HSM, следуйте инструкциям по созданию ключа HSM.

Шаг 2. Настройка назначения управляемой роли HSM

Настройте назначение ролей для управляемого HSM Key Vault, чтобы рабочая область Azure Databricks получила разрешение на доступ к нему. Можно настроить назначение ролей с помощью портал Azure, Azure CLI или Azure PowerShell.

Использование портала Azure

1. Перейдите к ресурсу Управляемого устройства HSM в портал Azure.
2. В меню слева в разделе "Настройки", выберите select"локальный RBAC".
3. Нажмите кнопку Добавить.
4. В поле ролиselectпользователя шифрования управляемого криптографического сервиса HSM.
5. В области полеselectAll keys (/).
6. В поле субъекта безопасности введите и прокрутите страницу до результата корпоративного приложения с идентификатором приложения и .
7. Нажмите кнопку Создать.
8. В левом меню в разделе "Параметры ", "Клавиши select" и select вашего ключа.
9. В поле ключа Identifier скопируйте текст.

Использование Azure CLI

1. Get идентификатор объекта приложения AzureDatabricks, полученный с помощью Azure CLI.

   az ad sp show --id "2ff814a6-3304-4ab8-85cb-cd0e6f879c1d" \
                   --query "id" \
                   --output tsv
   

2. Настройте назначение роли управляемого устройства HSM. Замените <hsm-name> управляемым именем HSM и замените <object-id> идентификатором AzureDatabricks объекта приложения на предыдущем шаге.

   az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
       --scope "/" --hsm-name <hsm-name>
       --assignee-object-id <object-id>
   

Использование Azure PowerShell

Замените <hsm-name> управляемым именем HSM.

Connect-AzureAD
$managedService = Get-AzureADServicePrincipal \
-Filter "appId eq '2ff814a6-3304-4ab8-85cb-cd0e6f879c1d'"

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $managedService.ObjectId

Шаг 3. Добавление ключа в рабочую область

Вы можете создать или update рабочую область с ключом, управляемым клиентом для управляемых служб, с помощью портала Azure, Azure CLI или Azure PowerShell.

Использование портала Azure

1. Перейдите на домашнюю страницу портала Azure.

2. Щелкните " Создать ресурс " в левом верхнем углу страницы.

3. В строке поиска введите Azure Databricks и выберите параметр Azure Databricks .

4. Нажмите кнопку "Создать " в мини-приложении Azure Databricks.

5. Введите values для полей ввода на вкладках Основные и Сеть.

6. После перехода на вкладку "Шифрование ":

   • Чтобы создать рабочую область, включите собственный ключ в разделе "Управляемые службы".
   • Для обновления рабочей области включите управляемые службы.

7. Set поля шифрования.

   

   • В поле ключа вставьте ключ управляемого ключа HSM.
   • В раскрывающемся списке подписки введите имя подписки ключа Azure Key Vault.

8. Заполните оставшиеся вкладки и нажмите кнопку "Просмотр и создание " (для новой рабочей области) или "Сохранить " (для обновления рабочей области).

Использование Azure CLI

Создайте или update рабочую область:

Для создания и updateдобавьте следующие поля в команду:

• managed-services-key-name: управляемое имя HSM
• managed-services-key-vault: управляемый URI HSM
• managed-services-key-version: управляемая версия HSM. Используйте определенную версию ключа, а не latest.

Пример создания рабочей области с помощью следующих полей:

az databricks workspace create --name <workspace-name> \
--resource-group <resource-group-name> \
--location <location> \
--sku premium \
--managed-services-key-name <hsm-name> \
--managed-services-key-vault <hsm-uri> \
--managed-services-key-version <hsm-version>

Пример рабочей области update с использованием этих полей:

az databricks workspace update --name <workspace-name> \
--resource-group <resource-group-name> \
--managed-services-key-name <hsm-name> \
--managed-services-key-vault <hsm-uri> \
--managed-services-key-version <hsm-version>

Использование PowerShell

Чтобы создать или update рабочую область, добавьте следующую parameters в строку команды для нового ключа:

• ManagedServicesKeyVaultPropertiesKeyName: управляемое имя HSM
• ManagedServicesKeyVaultPropertiesKeyVaultUri: управляемый URI HSM
• ManagedServicesKeyVaultPropertiesKeyVersion: управляемая версия HSM. Используйте определенную версию ключа, а не latest.

Пример создания рабочей области с этими полями:

New-AzDatabricksWorkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-location $keyVault.Location \
-sku premium \
-ManagedServicesKeyVaultPropertiesKeyName $hsm.Name \
-ManagedServicesKeyVaultPropertiesKeyVaultUri $hsm.Uri \
-ManagedServicesKeyVaultPropertiesKeyVersion $hsm.Version

Пример рабочей области update с этими полями:

Update-AzDatabricksWorkspace -Name <workspace-name> \
-ResourceGroupName <resource-group-name> \
-sku premium \
-ManagedServicesKeyVaultPropertiesKeyName $hsm.Name \
-ManagedServicesKeyVaultPropertiesKeyVaultUri $hsm.VaultUri \
-ManagedServicesKeyVaultPropertiesKeyVersion $hsm.Version

Шаг 4 (необязательно): повторно импортируйте записные книжки

После первичного добавления ключа для управляемых служб в существующей рабочей области ваш ключ будут использовать только будущие операции записи. Существующие данные повторно не шифруются.

Можно экспортировать все записные книжки, а затем повторно их импортировать, чтобы ключ, который шифрует данные, защищался и управлялся вашим ключом. Можно использовать API экспорта и импорта рабочей области.

Смена ключа в дальнейшем

Если вы уже используете управляемый клиентом ключ для управляемых служб, вы можете update рабочей области с новой версией ключа или полностью новым ключом. Это называется сменой ключей.

1. Создайте новый ключ или измените существующий ключ в Управляемом хранилище HSM.

   Убедитесь, что новый ключ имеет соответствующие разрешения.

2. Update рабочей области с новым ключом с помощью портала, интерфейса командной строки или PowerShell. См. шаг 3 в : добавьте ключ в рабочую область и следуйте инструкциям для рабочей области update. Убедитесь, что вы используете одно и то же значение values для имени группы ресурсов и имени рабочей области, чтобы обновить существующую рабочую область, а не создавать новую. Кроме изменений в parameters, связанных с ключом, используйте те же parameters, которые использовались для создания рабочей области.

   Внимание

   При смене ключа необходимо сохранить старый ключ доступным в течение 24 часов.

3. При необходимости экспортируйте и повторно импортируйте существующие записные книжки , чтобы все существующие записные книжки использовали новый ключ.