Sdílet prostřednictvím

Konfigurace klíčů spravovaných zákazníkem pro kořen DBFS s využitím PowerShellu

  • Článek

Poznámka:

Tato funkce je dostupná jenom v plánu Premium.

Pomocí PowerShellu můžete nakonfigurovat vlastní šifrovací klíč pro šifrování účtu úložiště pracovního prostoru. Tento článek popisuje, jak nakonfigurovat vlastní klíč z trezorů služby Azure Key Vault. Pokyny k použití klíče ze spravovaného HSM služby Azure Key Vault najdete v tématu Konfigurace klíčů spravovaných zákazníkem HSM pro DBFS pomocí PowerShellu.

Další informace o klíčích spravovaných zákazníkem pro DBFS najdete v tématu Klíče spravované zákazníkem pro kořen DBFS.

Instalace modulu Azure Databricks PowerShellu

  1. Nainstalujte prostředí Azure PowerShell.
  2. Nainstalujte modul Azure Databricks PowerShell.

Příprava nového nebo existujícího pracovního prostoru Azure Databricks na šifrování

Zástupné hodnoty v závorkách nahraďte vlastními hodnotami. Název <workspace-name> prostředku je zobrazený na webu Azure Portal.

Příprava šifrování při vytváření pracovního prostoru:

$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Příprava existujícího pracovního prostoru na šifrování:

$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Další informace o rutinách PowerShellu pro pracovní prostory Azure Databricks najdete v referenčních informacích k Az.Databricks.

Vytvoření nové služby Key Vault

Azure Key Vault, který používáte k ukládání klíčů spravovaných zákazníkem pro výchozí (kořenový) DBFS, musí mít povolené dvě nastavení ochrany klíčů, obnovitelné odstranění a ochranu před vymazáním.

Důležité

Key Vault musí být ve stejném tenantovi Azure jako váš pracovní prostor Azure Databricks.

Ve verzi 2.0.0 a novější modulu Az.KeyVault je při vytváření nové služby Key Vault ve výchozím nastavení povolené obnovitelné odstranění.

Následující příklad vytvoří novou službu Key Vault s povolenými vlastnostmi obnovitelného odstranění a ochrany před vymazáním. Zástupné hodnoty v závorkách nahraďte vlastními hodnotami.

$keyVault = New-AzKeyVault -Name <key-vault> `
     -ResourceGroupName <resource-group> `
     -Location <location> `
     -EnablePurgeProtection

Informace o povolení obnovitelného odstranění a vyprázdnění ve stávající službě Key Vault pomocí PowerShellu najdete v tématu Povolení obnovitelného odstranění a povolení ochrany před vymazáním v tématu Použití obnovitelného odstranění služby Key Vault v PowerShellu.

Konfigurace zásad přístupu ke službě Key Vault

Nastavte zásady přístupu pro službu Key Vault tak, aby k němu pracovní prostor Azure Databricks získal oprávnění, a to pomocí Set-AzKeyVaultAccessPolicy.

Set-AzKeyVaultAccessPolicy `
      -VaultName $keyVault.VaultName `
      -ObjectId $workspace.StorageAccountIdentity.PrincipalId `
      -PermissionsToKeys wrapkey,unwrapkey,get

Vytvoření nového klíče

Ve službě Key Vault vytvořte nový klíč pomocí rutiny Add-AzKeyVaultKey . Zástupné hodnoty v závorkách nahraďte vlastními hodnotami.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

Kořenové úložiště DBFS podporuje klíče RSA a RSA-HSM velikosti 2048, 3072 a 4096. Další informace o klíčích najdete v tématu Informace o klíčích služby Key Vault.

Konfigurace šifrování DBFS pomocí klíčů spravovaných zákazníkem

Nakonfigurujte pracovní prostor Azure Databricks tak, aby používal klíč, který jste vytvořili ve službě Azure Key Vault. Zástupné hodnoty v závorkách nahraďte vlastními hodnotami.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
      -Name <workspace-name>
     -EncryptionKeySource Microsoft.Keyvault `
     -EncryptionKeyName $key.Name `
     -EncryptionKeyVersion $key.Version `
     -EncryptionKeyVaultUri $keyVault.VaultUri

Zakázání klíčů spravovaných zákazníkem

Když zakážete klíče spravované zákazníkem, váš účet úložiště se znovu zašifruje pomocí klíčů spravovaných Microsoftem.

Zástupné hodnoty v hranatých závorkách nahraďte vlastními hodnotami a použijte proměnné definované v předchozích krocích.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default