Konfigurieren von kundenseitig verwalteten Schlüsseln für DBFS mithilfe von PowerShell
Hinweis
Dieses Feature ist nur im Premium-Plan verfügbar.
Sie können PowerShell verwenden, um Ihren eigenen Verschlüsselungsschlüssel zum Verschlüsseln des Speicherkontos des Arbeitsbereichs zu konfigurieren. In diesem Artikel wird beschrieben, wie Sie Ihren eigenen Schlüssel aus Azure Key Vault-Tresoren konfigurieren. Eine Anleitung zur Verwendung eines Schlüssels aus Azure Key Vault Managed HSM finden Sie unter Konfigurieren von kundenseitig verwalteten HSM-Schlüsseln für DBFS über PowerShell.
Weitere Informationen zu kundenseitig verwalteten Schlüsseln für DBFS finden Sie unter Kundenseitig verwaltete Schlüssel für den DBFS-Stamm.
Installieren des Azure Databricks PowerShell-Moduls
Vorbereiten eines neuen oder vorhandenen Azure Databricks-Arbeitsbereichs für die Verschlüsselung
Ersetzen Sie die Platzhalterwerte in den Klammern durch Ihre eigenen Werte. <workspace-name>
ist der Ressourcenname, so wie im Azure-Portal dargestellt.
Vorbereiten der Verschlüsselung beim Erstellen eines Arbeitsbereichs:
$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
Vorbereiten eines vorhandenen Arbeitsbereichs für die Verschlüsselung:
$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Weitere Informationen zu PowerShell-Cmdlets für Azure Databricks-Arbeitsbereiche finden Sie in der Az.Databricks-Referenz.
Erstellen eines neuen Schlüsseltresors
Für den Azure Key Vault, den Sie zum Speichern von kundenseitig verwalteten Schlüsseln für das Standard/Stamm-DBFS verwenden, müssen zwei wichtige Schutzeinstellungen aktiviert sein: Vorläufiges Löschen und Löschschutz.
Wichtig
Key Vault muss sich im selben Azure-Mandanten wie Ihr Azure Databricks-Arbeitsbereich befinden.
In Version 2.0.0 und höher des Az.KeyVault
-Moduls ist das vorläufige Löschen standardmäßig aktiviert, wenn Sie einen neuen Schlüsseltresor erstellen.
Im folgenden Beispiel wird ein neuer Schlüsseltresor mit den aktivierten Eigenschaften „Vorläufiges Löschen“ und „Löschschutz“ erstellt. Ersetzen Sie die Platzhalterwerte in den Klammern durch Ihre eigenen Werte.
$keyVault = New-AzKeyVault -Name <key-vault> `
-ResourceGroupName <resource-group> `
-Location <location> `
-EnablePurgeProtection
Informationen zum Aktivieren von „Vorläufiges Löschen“ und „Löschschutz“ in einem vorhandenen Schlüsseltresor mit PowerShell finden Sie in den Abschnitten „Aktivieren des vorläufigen Löschens“ und „Aktivieren des Löschschutzes“ unter Verwenden des vorläufigen Löschens mit PowerShell.
Konfigurieren der Key Vault-Zugriffsrichtlinie
Legen Sie mithilfe des Befehls Set-AzKeyVaultAccessPolicy die Zugriffsrichtlinie für den Schlüsseltresor fest, damit der Azure Databricks-Arbeitsbereich über die Zugriffsberechtigung verfügt.
Set-AzKeyVaultAccessPolicy `
-VaultName $keyVault.VaultName `
-ObjectId $workspace.StorageAccountIdentity.PrincipalId `
-PermissionsToKeys wrapkey,unwrapkey,get
Erstellen eines neuen Schlüssels
Erstellen Sie mit dem Cmdlet Add-AzKeyVaultKey einen neuen Schlüssel im Schlüsseltresor. Ersetzen Sie die Platzhalterwerte in den Klammern durch Ihre eigenen Werte.
$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'
Der DBFS-Stammspeicher unterstützt RSA- und RSA-HSM-Schlüssel mit einer Größe von 2.048, 3.072 und 4.096 Bit. Weitere Informationen zu Schlüsseln finden Sie unter Informationen zu Azure Key Vault-Schlüsseln.
Konfigurieren der DBFS-Verschlüsselung mit kundenseitig verwalteten Schlüsseln
Konfigurieren Sie Ihren Azure Databricks-Arbeitsbereich so, dass der Schlüssel verwendet wird, den Sie in Ihrer Azure Key Vault-Instanz erstellt haben. Ersetzen Sie die Platzhalterwerte in den Klammern durch Ihre eigenen Werte.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName $key.Name `
-EncryptionKeyVersion $key.Version `
-EncryptionKeyVaultUri $keyVault.VaultUri
Deaktivieren von vom Kunden verwalteten Schlüsseln
Wenn Sie kundenseitig verwaltete Schlüssel deaktivieren, wird Ihr Speicherkonto wieder mit von Microsoft verwalteten Schlüsseln verschlüsselt.
Ersetzen Sie die Platzhalterwerte in Klammern durch Ihre eigenen Werte, und verwenden Sie die in den vorherigen Schritten definierten Variablen.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default