Konfigurace klíčů spravovaných zákazníkem HSM pro DBFS pomocí Azure CLI
Poznámka:
Tato funkce je dostupná jenom v plánu Premium.
Pomocí Azure CLI můžete nakonfigurovat vlastní šifrovací klíč pro šifrování účtu úložiště pracovního prostoru. Tento článek popisuje, jak nakonfigurovat vlastní klíč ze spravovaného HSM služby Azure Key Vault. Pokyny k použití klíče z trezorů služby Azure Key Vault najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro DBFS pomocí Azure CLI.
Důležité
Key Vault musí být ve stejném tenantovi Azure jako váš pracovní prostor Azure Databricks.
Další informace o klíčích spravovaných zákazníkem pro DBFS najdete v tématu Klíče spravované zákazníkem pro kořen DBFS.
Instalace rozšíření Azure Databricks CLI
Nainstalujte rozšíření Azure Databricks CLI.
az extension add --name databricks
Příprava nového nebo existujícího pracovního prostoru Azure Databricks na šifrování
Nahraďte zástupný symbol values v hranatých závorkách svým vlastním values. Název <workspace-name> prostředku je zobrazený na webu Azure Portal.
az login
az account set --subscription <subscription-id>
Příprava na šifrování během vytváření pracovního prostoru:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Příprava existujícího pracovního prostoru na šifrování:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Poznamenejte si principalId pole v storageAccountIdentity části výstupu příkazu. Při konfiguraci přiřazení role ve službě Key Vault ji zadáte jako hodnotu spravované identity.
Další informace o příkazech Azure CLI pro pracovní prostory Azure Databricks najdete v referenčních informacích k příkazu az databricks workspace.
Vytvoření spravovaného HSM služby Azure Key Vault a klíče HSM
Můžete použít existující spravovaný HSM služby Azure Key Vault nebo vytvořit a aktivovat nový rychlý start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI. Spravovaný HSM služby Azure Key Vault musí mít povolenou ochranu před vymazáním.
Pokud chcete vytvořit klíč HSM, postupujte podle pokynů k vytvoření klíče HSM.
Konfigurace přiřazení role spravovaného HSM
Nakonfigurujte přiřazení role pro spravovaný HSM služby Key Vault, aby k němu váš pracovní prostor Azure Databricks získal oprávnění. Nahraďte zástupný values v hranatých závorkách vlastním values.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
Nahraďte <managed-identity> hodnotou, kterou jste si poznamenali při principalId.
Konfigurace šifrování DBFS pomocí klíčů spravovaných zákazníkem
Nakonfigurujte pracovní prostor Azure Databricks tak, aby používal klíč, který jste vytvořili ve službě Azure Key Vault.
Zástupný values nahraďte vlastním values.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Zakázání klíčů spravovaných zákazníkem
Když zakážete klíče spravované zákazníkem, váš účet úložiště se znovu zašifruje pomocí klíčů spravovaných Microsoftem.
Zástupný values v hranatých závorkách nahraďte svým vlastním values a použijte proměnné definované v předchozích úkonech.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default