Condividi tramite

Configurare le chiavi HSM gestite dal cliente per DBFS tramite PowerShell

  • Articolo

Nota

Questa funzionalità è disponibile solo nel piano Premium.

È possibile usare PowerShell per configurare la propria chiave di crittografia per crittografare l'account di archiviazione dell'area di lavoro. Questo articolo descrive come configurare la propria chiave dal modulo di protezione hardware gestito di Azure Key Vault. Per istruzioni sull'uso di una chiave da insiemi di credenziali di Azure Key Vault, vedere Configurare chiavi gestite dal cliente per DBFS tramite PowerShell.

Importante

L'Azure Key Vault deve trovarsi nello stesso tenant Azure del tuo spazio di lavoro Azure Databricks.

Per altre informazioni sulle chiavi gestite dal cliente per DBFS, vedere Chiavi gestite dal cliente per la radice DBFS.

Installare il modulo PowerShell di Azure Databricks

  1. Installare Azure PowerShell.
  2. Installare il modulo PowerShell di Azure Databricks.

Preparare un'area di lavoro di Azure Databricks nuova o esistente per la crittografia

Sostituisci i valori segnaposto tra parentesi quadre con i tuoi valori. <workspace-name> è il nome della risorsa visualizzato nella portale di Azure.

Preparare la crittografia quando si crea un'area di lavoro:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Preparare un'area di lavoro esistente per la crittografia:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Per altre informazioni sui cmdlet di PowerShell per le aree di lavoro di Azure Databricks, vedere le informazioni di riferimento su Az.Databricks.

Creare un HSM gestito di Azure Key Vault e una chiave HSM

È possibile utilizzare un Azure Key Vault HSM gestito esistente oppure creare e attivarne uno nuovo seguendo la Guida rapida: Procedere con il provisioning e attivare un HSM gestito usando PowerShell. È necessario abilitare la Protezione dalla rimozione per l'HSM gestito di Azure Key Vault.

Per creare una chiave HSM, seguire le istruzioni contenute in Creare una chiave HSM.

Configurare l'assegnazione del ruolo per il modulo di protezione hardware gestito

Configurare un'assegnazione di ruolo per il modulo di protezione hardware gestito di Key Vault in modo che l'area di lavoro di Azure Databricks disponga dell'autorizzazione per accedervi. Sostituisci i valori segnaposto tra parentesi quadre con i tuoi valori.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentity.PrincipalId

Configurare la crittografia DBFS con chiavi gestite dal cliente

Configurare l'area di lavoro di Azure Databricks per usare la chiave creata nell'Azure Key Vault. Sostituisci i valori segnaposto tra parentesi quadre con i tuoi valori.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Disabilitare le chiavi gestite dal cliente

Quando si disabilitano le chiavi gestite dal cliente, l'account di archiviazione viene nuovamente crittografato con chiavi gestite da Microsoft.

Sostituire i valori segnaposto tra parentesi quadre con i propri valori e usare le variabili definite nei passaggi precedenti.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default