適用於:
SQL Server 2019 (15.x)
Important
MICROSOFT SQL Server 2019 巨量數據叢集已淘汰。 SQL Server 2019 巨量數據叢集的支援已於 2025 年 2 月 28 日結束。 如需詳細資訊,請參閱 Microsoft SQL Server 平臺上的公告部落格文章和巨量數據選項。
本文說明如何使用 SQL Server 巨量數據叢集的待用加密功能,使用加密區域來加密 HDFS 資料夾。 它也會描述 HDFS 金鑰管理工作。
默認加密區域位於 /securelake,已準備好使用。 它是由系統產生的 256 位金鑰所建立,名為 securelakekey。 此金鑰可用來建立其他加密區域。
Prerequisites
- SQL Server 巨量數據叢集 CU8+ 與 Active Directory 整合。
- 具有 Kubernetes 系統管理許可權的 SQL Server 巨量數據叢集使用者,這是叢集管理員角色的成員。 如需詳細資訊,請參閱 在 Active Directory 模式中管理巨量數據叢集存取。
- Azure 資料 CLI (
azdata) 以 AD 模式設定並登入叢集。
使用提供的系統管理金鑰建立加密區域
使用此 azdata 命令建立 HDFS 資料夾:
azdata bdc hdfs mkdir --path /user/zone/folder發出加密區域 create 命令,以使用
securelakekey金鑰加密資料夾。azdata bdc hdfs encryption-zone create --path /user/zone/folder --keyname securelakekey
使用外部提供者時管理加密區域
如需 SQL Server 巨量數據叢集待用加密使用方式的詳細資訊,請參閱 HDFS 的主要密鑰輪替 ,以取得如何使用外部密鑰提供者來管理加密區域的端對端範例。
建立自訂的新金鑰和加密區域
使用下列模式來建立 256 位金鑰。
azdata bdc hdfs key create --name mydatalakekey使用使用者金鑰建立並加密新的 HDFS 路徑。
azdata bdc hdfs encryption-zone create --path /user/mydatalake --keyname mydatalakekey
HDFS 金鑰輪替和加密區域重新加密
此方法會使用新的金鑰資料,建立
securelakekey新版本的 。azdata hdfs bdc key roll --name securelakekey重新加密與上述金鑰相關聯的加密區域。
azdata bdc hdfs encryption-zone reencrypt --path /securelake --action start
HDFS 金鑰和加密區域監視
若要監視加密區域重新加密的狀態,請使用下列命令:
azdata bdc hdfs encryption-zone status若要取得加密區域中檔案的加密資訊,請使用此命令:
azdata bdc hdfs encryption-zone get-file-encryption-info --path /securelake/data.csv若要列出所有加密區域,請使用此命令:
azdata bdc hdfs encryption-zone list若要列出 HDFS 的所有可用金鑰,請使用此指令:
azdata bdc hdfs key list若要建立 HDFS 加密的自訂金鑰,請使用此命令:
azdata hdfs key create --name key1 --size 256可能的大小為 128、192 256。 預設值為 256。
Next steps
搭配巨量數據叢集使用 azdata ,請參閱 SQL Server 2019 巨量數據叢集簡介。
若要使用外部密鑰提供者進行待用加密,請參閱 SQL Server 巨量數據叢集中的外部密鑰提供者。