Freigeben über

Konfigurieren von kundenseitig verwalteten HSM-Schlüsseln für DBFS mithilfe von PowerShell

  • Artikel

Hinweis

Dieses Feature ist nur im Premium-Plan verfügbar.

Sie können PowerShell verwenden, um Ihren eigenen Verschlüsselungsschlüssel zum Verschlüsseln des Speicherkontos des Arbeitsbereichs zu konfigurieren. In diesem Artikel wird beschrieben, wie Sie Ihren eigenen Schlüssel aus Azure Key Vault Managed HSM konfigurieren. Eine Anleitung zur Verwendung eines Schlüssels aus Azure Key Vault-Tresoren finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln für DBFS mithilfe von PowerShell.

Wichtig

Key Vault muss sich im selben Azure-Mandanten wie Ihr Azure Databricks-Arbeitsbereich befinden.

Weitere Informationen zu kundenseitig verwalteten Schlüsseln für DBFS finden Sie unter Kundenseitig verwaltete Schlüssel für den DBFS-Stamm.

Installieren des Azure Databricks PowerShell-Moduls

  1. Installieren Sie Azure PowerShell.
  2. Installieren Sie das Azure Databricks PowerShell-Modul.

Vorbereiten eines neuen oder vorhandenen Azure Databricks-Arbeitsbereichs für die Verschlüsselung

Ersetzen Sie die Platzhalterwerte in den Klammern durch Ihre eigenen Werte. <workspace-name> ist der Ressourcenname, so wie im Azure-Portal dargestellt.

Vorbereiten der Verschlüsselung beim Erstellen eines Arbeitsbereichs:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Vorbereiten eines vorhandenen Arbeitsbereichs für die Verschlüsselung:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Weitere Informationen zu PowerShell-Cmdlets für Azure Databricks-Arbeitsbereiche finden Sie in der Az.Databricks-Referenz.

Erstellen eines in Azure Key Vault verwalteten HSM und eines HSM-Schlüssels

Sie können ein vorhandenes in Azure Key Vault verwaltetes HSM verwenden oder ein neues wie in Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe von PowerShell beschrieben aktivieren. Für das in Azure Key Vault verwaltete HSM muss Löschschutz aktiviert sein.

Um einen HSM-Schlüssel zu erstellen, folgen Sie den Anweisungen unter Erstellen eines HSM-Schlüssels.

Konfigurieren der Rollenzuweisung für verwaltetes HSM

Konfigurieren Sie eine Rollenzuweisung für das in Key Vault verwaltete HSM, sodass Ihr Azure Databricks-Arbeitsbereich über die Zugriffsberechtigung verfügt. Ersetzen Sie die Platzhalterwerte in den Klammern durch Ihre eigenen Werte.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentityPrincipalId

Konfigurieren der DBFS-Verschlüsselung mit kundenseitig verwalteten Schlüsseln

Konfigurieren Sie Ihren Azure Databricks-Arbeitsbereich so, dass der Schlüssel verwendet wird, den Sie in Ihrer Azure Key Vault-Instanz erstellt haben. Ersetzen Sie die Platzhalterwerte in den Klammern durch Ihre eigenen Werte.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Deaktivieren von vom Kunden verwalteten Schlüsseln

Wenn Sie kundenseitig verwaltete Schlüssel deaktivieren, wird Ihr Speicherkonto wieder mit von Microsoft verwalteten Schlüsseln verschlüsselt.

Ersetzen Sie die Platzhalterwerte in Klammern durch Ihre eigenen Werte, und verwenden Sie die in den vorherigen Schritten definierten Variablen.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default