Sdílet prostřednictvím

Konfigurace klíčů spravovaných zákazníkem pro kořen DBFS s využitím Azure CLI

  • Článek

Poznámka:

Tato funkce je dostupná jenom v plánu Premium.

Pomocí Azure CLI můžete nakonfigurovat vlastní šifrovací klíč pro šifrování účtu úložiště pracovního prostoru. Tento článek popisuje, jak nakonfigurovat vlastní klíč z trezorů služby Azure Key Vault. Pokyny k použití klíče ze spravovaného HSM služby Azure Key Vault najdete v tématu Konfigurace klíčů spravovaných zákazníkem HSM pro DBFS pomocí Azure CLI.

Další informace o klíčích spravovaných zákazníkem pro DBFS najdete v tématu Klíče spravované zákazníkem pro kořen DBFS.

Instalace rozšíření Azure Databricks CLI

  1. Nainstalujte Azure CLI.

  2. Nainstalujte rozšíření Azure Databricks CLI.

    az extension add --name databricks

Příprava nového nebo existujícího pracovního prostoru Azure Databricks na šifrování

Zástupné hodnoty v závorkách nahraďte vlastními hodnotami. Název <workspace-name> prostředku je zobrazený na webu Azure Portal.

az login
az account set --subscription <subscription-id>

Příprava na šifrování během vytváření pracovního prostoru:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption

Příprava existujícího pracovního prostoru na šifrování:

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption

Poznamenejte si principalId pole v storageAccountIdentity části výstupu příkazu. Při konfiguraci služby Key Vault ji zadáte jako hodnotu spravované identity.

Další informace o příkazech Azure CLI pro pracovní prostory Azure Databricks najdete v referenčních informacích k příkazu az databricks workspace.

Vytvoření nové služby Key Vault

Služba Key Vault, kterou používáte k ukládání klíčů spravovaných zákazníkem pro kořen DBFS, musí obsahovat dvě nastavení ochrany klíčů, obnovitelné odstranění a ochranu před vymazáním. Pokud chcete vytvořit novou službu Key Vault s povoleným nastavením, spusťte následující příkazy.

Důležité

Key Vault musí být ve stejném tenantovi Azure jako váš pracovní prostor Azure Databricks.

Zástupné hodnoty v závorkách nahraďte vlastními hodnotami.

az keyvault create \
        --name <key-vault> \
        --resource-group <resource-group> \
        --location <region> \
        --enable-soft-delete \
        --enable-purge-protection

Další informace o povolení obnovitelného odstranění a vyprázdnění pomocí Azure CLI najdete v tématu Použití obnovitelného odstranění služby Key Vault s rozhraním příkazového řádku.

Konfigurace zásad přístupu ke službě Key Vault

Pomocí příkazu az keyvault set-policy nastavte zásady přístupu pro službu Key Vault tak, aby k němu pracovní prostor Azure Databricks získal oprávnění.

Zástupné hodnoty v závorkách nahraďte vlastními hodnotami.

az keyvault set-policy \
        --name <key-vault> \
        --resource-group <resource-group> \
        --object-id <managed-identity>  \
        --key-permissions get unwrapKey wrapKey

Nahraďte <managed-identity> hodnotou, kterou jste si poznamenali při přípravě pracovního prostoru na šifrování.principalId

Vytvoření nového klíče

Ve službě Key Vault vytvořte klíč pomocí příkazu az keyvault key create .

Zástupné hodnoty v závorkách nahraďte vlastními hodnotami.

az keyvault key create \
       --name <key> \
       --vault-name <key-vault>

Kořenové úložiště DBFS podporuje klíče RSA a RSA-HSM velikosti 2048, 3072 a 4096. Další informace o klíčích najdete v tématu Informace o klíčích služby Key Vault.

Konfigurace šifrování DBFS pomocí klíčů spravovaných zákazníkem

Nakonfigurujte pracovní prostor Azure Databricks tak, aby používal klíč, který jste vytvořili ve službě Azure Key Vault.

Zástupné hodnoty v závorkách nahraďte vlastními hodnotami.

key_vault_uri=$(az keyvault show \
 --name <key-vault> \
 --resource-group <resource-group> \
 --query properties.vaultUri \
--output tsv)

key_version=$(az keyvault key list-versions \
 --name <key> \ --vault-name <key-vault> \
 --query [-1].kid \
--output tsv | cut -d '/' -f 6)

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault $key_vault_uri --key-version $key_version

Zakázání klíčů spravovaných zákazníkem

Když zakážete klíče spravované zákazníkem, váš účet úložiště se znovu zašifruje pomocí klíčů spravovaných Microsoftem.

Zástupné hodnoty v hranatých závorkách nahraďte vlastními hodnotami a použijte proměnné definované v předchozích krocích.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default