Configurar a chave gerenciadora de clientes para criptografia
Visualização
Esse recurso está em Public Preview.
Os administradores de conta podem usar o console Databricks account para configurar a chave gerenciadora de clientes para criptografia. O senhor também pode configurar a chave do gerenciador de clientes usando a chave da conta Configurações API.
Há dois casos de uso Databricks para adicionar um gerenciador de clientes key:
-
dados do serviço gerenciado no plano de controle doDatabricks (Notebook, segredos e dados de consulta do Databricks SQL ).
-
armazenamento do espaço de trabalho (os dois buckets de armazenamento do workspace e os volumes do GCE Persistent Disk do compute recurso).
Para comparar os casos de uso do gerenciador de clientes key, consulte Comparar os principais casos de uso do gerenciador de clientes.
Esse recurso requer o plano Premium.
O que é uma configuração de chave de criptografia?
A chave gerenciar-cliente é gerenciar com configurações de chave de criptografia. As configurações de chave de criptografia são objetos de nível accountque fazem referência à sua nuvem key.
Os administradores de conta criam configurações de chave de criptografia no console account e uma configuração de chave de criptografia pode ser anexada a um ou mais espaços de trabalho.
O senhor pode compartilhar um objeto de configuração Databricks key entre os dois casos de uso de criptografia diferentes (serviço gerenciado e armazenamento workspace ).
O senhor só pode adicionar uma configuração de chave de criptografia ao seu Databricks workspace durante a criação do workspace.
Etapa 1: Criar ou selecionar um key na nuvem KMS
O senhor pode usar a mesma nuvem KMS key entre os casos de uso workspace storage e serviço gerenciado.
- Crie ou selecione key KMS uma criptografia simétrica no key Cloud seguindo as instruções em Create a symmetric encryption. A nuvem KMS key deve estar na mesma região que a sua workspace.
- Copie o nome do recurso para o site KMS key.
Etapa 2: Criar uma nova configuração do site key
Crie um objeto de configuração Databricks encryption key usando o console Databricks account :
-
Como administrador da conta, faça login no console da conta.
-
Na barra lateral, clique em Recurso na nuvem .
-
Clique em Encryption key configuration (Configuração da chave de criptografia ) tab.
-
Clique em Add encryption key (Adicionar chave de criptografia ).
-
Selecione os casos de uso para essa criptografia key:
- Tanto o serviço gerenciado quanto o workspace storage
- Serviços gerenciados
- Armazenamento do workspace
-
No campo KMS key ID , digite o nome do recurso que o senhor copiou acima.
-
Clique em Adicionar .
Etapa 3: Criar um novo workspace
Crie um workspace usando a configuração de criptografia key que o senhor criou. O senhor deve ter as permissões do Google cloudkms.cryptoKeys.getIamPolicy e cloudkms.cryptoKeys.setIamPolicy no Cloud KMS key para criar um workspace com a configuração de criptografia key.
Esta seção não mostra todas as opções para criar um workspace. Para obter mais informações sobre outros campos avançados, como os de VPCs para gerenciar clientes ou valores personalizados de CIDR para redes, consulte Criar um workspace usando o console account
-
Acesse o console account.
-
Na barra lateral, clique em Workspaces .
-
Clique em Create workspace .
-
Defina os seguintes campos em workspace:
- nome do espaço de trabalho , digite um nome para o workspace.
- Region (Região ), selecione a mesma região que a nuvem KMS key.
- ID do projeto da nuvem do Google , insira o projeto para o recurso workspace's compute, que pode ser diferente do ID do projeto para sua nuvem KMS key.
-
Definir cliente-gerenciar key campos específicos:
- Clique em Configurações avançadas .
- Em Customer gerenciar key , escolha a configuração de criptografia key que o senhor criou nas etapas anteriores para Encryption key configuration for serviço gerenciado ou Encryption key configuration for workspace storage ou para ambos.
-
Clique em Salvar .