Sdílet prostřednictvím

Konfigurace klíčů spravovaných zákazníkem HSM pro DBFS pomocí PowerShellu

  • Článek

Poznámka:

Tato funkce je dostupná jenom v plánu Premium.

Pomocí PowerShellu můžete nakonfigurovat vlastní šifrovací klíč pro šifrování účtu úložiště pracovního prostoru. Tento článek popisuje, jak nakonfigurovat vlastní klíč ze spravovaného HSM služby Azure Key Vault. Pokyny k použití klíče z trezorů služby Azure Key Vault najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro DBFS pomocí PowerShellu.

Důležité

Key Vault musí být ve stejném tenantovi Azure jako váš pracovní prostor Azure Databricks.

Další informace o klíčích spravovaných zákazníkem pro DBFS najdete v tématu Klíče spravované zákazníkem pro kořen DBFS.

Instalace modulu Azure Databricks PowerShellu

  1. Nainstalujte prostředí Azure PowerShell.
  2. Nainstalujte modul Azure Databricks PowerShell.

Příprava nového nebo existujícího pracovního prostoru Azure Databricks na šifrování

Zástupné hodnoty v závorkách nahraďte vlastními hodnotami. Název <workspace-name> prostředku je zobrazený na webu Azure Portal.

Příprava šifrování při vytváření pracovního prostoru:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Příprava existujícího pracovního prostoru na šifrování:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Další informace o rutinách PowerShellu pro pracovní prostory Azure Databricks najdete v referenčních informacích k Az.Databricks.

Vytvoření spravovaného HSM služby Azure Key Vault a klíče HSM

Můžete použít existující spravovaný HSM služby Azure Key Vault nebo vytvořit a aktivovat nový rychlý start: Zřízení a aktivace spravovaného HSM pomocí PowerShellu. Spravovaný HSM služby Azure Key Vault musí mít povolenou ochranu před vymazáním.

Pokud chcete vytvořit klíč HSM, postupujte podle pokynů k vytvoření klíče HSM.

Konfigurace přiřazení role spravovaného HSM

Nakonfigurujte přiřazení role pro spravovaný HSM služby Key Vault, aby k němu váš pracovní prostor Azure Databricks získal oprávnění. Zástupné hodnoty v závorkách nahraďte vlastními hodnotami.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentityPrincipalId

Konfigurace šifrování DBFS pomocí klíčů spravovaných zákazníkem

Nakonfigurujte pracovní prostor Azure Databricks tak, aby používal klíč, který jste vytvořili ve službě Azure Key Vault. Zástupné hodnoty v závorkách nahraďte vlastními hodnotami.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Zakázání klíčů spravovaných zákazníkem

Když zakážete klíče spravované zákazníkem, váš účet úložiště se znovu zašifruje pomocí klíčů spravovaných Microsoftem.

Zástupné hodnoty v hranatých závorkách nahraďte vlastními hodnotami a použijte proměnné definované v předchozích krocích.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default