Guia de uso de zonas de criptografia HDFS em Clusters de Big Data do SQL Server
Aplica-se a: 
SQL Server 2019 (15.x)
Importante
O complemento Clusters de Big Data do Microsoft SQL Server 2019 será desativado. O suporte para Clusters de Big Data do SQL Server 2019 será encerrado em 28 de fevereiro de 2025. Todos os usuários existentes do SQL Server 2019 com Software Assurance terão suporte total na plataforma e o software continuará a ser mantido por meio de atualizações cumulativas do SQL Server até esse momento. Para obter mais informações, confira a postagem no blog de anúncio e as opções de Big Data na plataforma do Microsoft SQL Server.
Este artigo mostra como usar os recursos de criptografia em repouso dos Clusters de Big Data do SQL Server para criptografar pastas do HDFS usando Zonas de Criptografia. Ele também descreve as tarefas de gerenciamento de chaves do HDFS.
Uma zona de criptografia padrão, em /securelake, está pronta para ser usada. Ela foi criada com uma chave de 256 bits gerada pelo sistema chamada securelakekey. Essa chave pode ser usada para criar outras zonas de criptografia.
Pré-requisitos
- Cluster de Big Data do SQL Server versão CU8 ou posterior com integração ao Active Directory.
- Usuário de Clusters de Big Data do SQL Server com privilégios administrativos do Kubernetes, um membro da função clusterAdmins. Para obter mais informações, confira Gerenciar o acesso ao cluster de Big Data no modo de Active Directory.
- CLI de Dados do Azure (
azdata) configurado e conectado ao cluster no modo AD.
Criar uma zona de criptografia usando a chave gerenciada fornecida pelo sistema
Crie sua pasta HDFS usando este comando azdata:
azdata bdc hdfs mkdir --path /user/zone/folderEmita o comando de criação de zona de criptografia para criptografar a pasta usando a chave
securelakekey.azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
Gerenciar zonas de criptografia ao usar provedores externos
Para obter mais informações sobre como as versões de chave são usadas nos Clusters de Big Data com criptografia em repouso do SQL Server, confira Rotação de chave principal do HDFS para obter um exemplo de ponta a ponta de como gerenciar zonas de criptografia ao usar provedores de chaves externas.
Criar chave e zona de criptografia personalizadas
Use o padrão a seguir para criar uma chave de 256 bits.
azdata bdc hdfs key create --name mydatalakekeyCrie e criptografe um caminho do HDFS usando a chave de usuário.
azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
Rotação de chaves do HDFS e nova criptografia da zona de criptografia
Essa abordagem cria uma versão do
securelakekeycom o novo material de chave.azdata hdfs bdc key roll --name securelakekeyCriptografar novamente a zona de criptografia associada à chave acima.
azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
Monitoramento de zona de criptografia e da chave do HDFS
Para monitorar o status de uma nova criptografia da zona de criptografia, use este comando:
azdata bdc hdfs encryption-zone statusPara obter as informações de criptografia sobre um arquivo em uma zona de criptografia, use este comando:
azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csvPara listar todas as zonas de criptografia, use este comando:
azdata bdc hdfs encryption-zone listPara listar todas as chaves disponíveis no HDFS, use este comando:
azdata bdc hdfs key listPara criar uma chave personalizada para a criptografia do HDFS, use este comando:
azdata hdfs key create --name key1 --size 256Os tamanhos possíveis são 128, 192 256. O padrão é 256.
Próximas etapas
Usar o azdata com Clusters de Big Data, confira Introdução aos Clusters de Big Data do SQL Server 2019.
Para usar um provedor de chaves externas para criptografia em repouso, confira Provedores de chave externa em clusters de Big Data do SQL Server.