次の方法で共有

PowerShell を使用して DBFS 用のカスタマー マネージド キーを構成する

  • [アーティクル]

注意

この機能は、Premium プランでのみ使用できます。

PowerShell を使用して独自の暗号化キーを構成し、ワークスペース ストレージ アカウントを暗号化できます。 この記事では、Azure Key Vault コンテナーから独自のキーを構成する方法について説明します。 Azure Key Vault Managed HSM からのキーの使用手順については、「PowerShell を使用して DBFS 用の HSM カスタマー マネージド キーを構成する」をご覧ください。

DBFS のカスタマー マネージド キーの詳細については、「DBFS ルート用のカスタマー マネージド キー」をご覧ください。

Azure Databricks PowerShell モジュールをインストールする

  1. Azure PowerShell をインストールします
  2. Azure Databricks PowerShell モジュールをインストールします

新規または既存の Azure Databricks ワークスペースを暗号化用に準備する

かっこ内のプレースホルダー値は独自の値に置き換えてください。 <workspace-name> は、Azure portal に表示されるリソース名です。

ワークスペースの作成時に暗号化に向けて準備する:

$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

暗号化用に既存のワークスペースを準備する:

$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Azure Databricks ワークスペースの PowerShell コマンドレットの詳細については、「Az.Databricks リファレンス」を参照してください。

新しいキー コンテナーを作成する

既定の (ルート) DBFS のカスタマー マネージド キーの格納に使用する Azure Key Vault では、2 つのキー保護設定 ([論理的な削除][消去保護]) を有効にする必要があります。

重要

Key Vault は、Azure Databricks ワークスペースと同じ Azure テナント内にある必要があります。

バージョン 2.0.0 以降の Az.KeyVault モジュールでは、新しい Key Vault を作成するときには、既定で、論理的な削除が有効になります。

次の例では、[論理的な削除] と [消去保護] のプロパティを有効にして新しい Key Vault を作成しています。 かっこ内のプレースホルダー値は独自の値に置き換えてください。

$keyVault = New-AzKeyVault -Name <key-vault> `
     -ResourceGroupName <resource-group> `
     -Location <location> `
     -EnablePurgeProtection

PowerShell を使用して既存の Key Vault で [論理的な削除] と [消去保護] を有効にする方法については、PowerShell で Key Vault の論理的な削除を使用する方法に関する記事の「論理的な削除を有効にする」および「消去保護を有効にする」を参照してください。

キー コンテナーのアクセス ポリシーを構成する

Set-AzKeyVaultAccessPolicy を使用して、Azure Databricks ワークスペースがアクセス許可を持つ Key Vault のアクセス ポリシーを設定します。

Set-AzKeyVaultAccessPolicy `
      -VaultName $keyVault.VaultName `
      -ObjectId $workspace.StorageAccountIdentity.PrincipalId `
      -PermissionsToKeys wrapkey,unwrapkey,get

新しいキーを作成する

Add-AzKeyVaultKey コマンドレットを使用して、Key Vault に新しいキーを作成します。 かっこ内のプレースホルダー値は独自の値に置き換えてください。

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

DBFS ルート ストレージでは、2048、3072、および 4096 のサイズの RSA キーと RSA-HSM キーがサポートされています。 キーの詳細については、「Key Vault のキーについて」を参照してください。

カスタマー マネージド キーによる DEFS 暗号化を構成する

Azure Databricks ワークスペースを構成して、Azure Key Vault で作成したキーを使用します。 かっこ内のプレースホルダー値は独自の値に置き換えてください。

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
      -Name <workspace-name>
     -EncryptionKeySource Microsoft.Keyvault `
     -EncryptionKeyName $key.Name `
     -EncryptionKeyVersion $key.Version `
     -EncryptionKeyVaultUri $keyVault.VaultUri

カスタマー マネージド キーを無効にする

カスタマー マネージド キーを無効にすると、ストレージ アカウントは、Microsoft が管理するキーを使用して再び暗号化されます。

かっこ内のプレースホルダー値を独自の値に置き換え、前の手順で定義した変数を使用してください。

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default