次の方法で共有

Azure CLI を使用して DBFS 用の HSM カスタマー マネージド キーを構成する

  • [アーティクル]

Note

この機能は、Premium プランでのみ使用できます。

Azure CLI を使用して独自の暗号化キーを構成し、ワークスペース ストレージ アカウントを暗号化することができます。 この記事では、Azure Key Vault マネージド HSM から独自のキーを構成する方法について説明します。 Azure Key Vault コンテナーからのキーの使用手順については、「Azure CLI を使用して DBFS 用のカスタマー マネージド キーを構成する」を参照してください。

重要

Key Vault は、Azure Databricks ワークスペースと同じ Azure テナント内にある必要があります。

DBFS 用のカスタマー マネージド キーの詳細については、「DBFS ルート用のカスタマー マネージド キー」を参照してください。

Azure Databricks CLI 拡張機能をインストールします。

  1. Azure CLI のインストールを実行します。

  2. Azure Databricks CLI 拡張機能をインストールします。

    az extension add --name databricks

新規または既存の Azure Databricks ワークスペースを暗号化用に準備する

かっこ内のプレースホルダー値は独自の値に置き換えてください。 <workspace-name> は、Azure portal に表示されるリソース名です。

az login
az account set --subscription <subscription-id>

ワークスペースの作成時に暗号化を準備する:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption

暗号化用に既存のワークスペースを準備する:

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption

コマンドの出力の storageAccountIdentity セクションの principalId フィールドに注意してください。 キー コンテナーでロールの割り当てを構成するときに、マネージド ID の値として指定します。

Azure Databricks ワークスペースのための Azure CLI コマンドの詳細については、az Databricks ワークスペース コマンドのリファレンスを参照してください。

Azure Key Vault Managed HSM と HSM キーを作成する

既存の Azure Key Vault Managed HSM を使用するか、「クイックスタート: Azure CLI を使用してマネージド HSM をプロビジョニングしてアクティブにする」に従って新しい HSM を作成してアクティブにすることができます。 Azure Key Vault Managed HSM では、消去保護が有効になっている必要があります。

HSM キーを作成するには、「HSM キーを作成する」に従ってください。

マネージド HSM ロールの割り当てを構成する

Azure Databricks ワークスペースからアクセスできるように、キー コンテナー マネージド HSM 向けのロールの割り当てを構成します。 かっこ内のプレースホルダー値は独自の値に置き換えてください。

az keyvault role assignment create \
        --role "Managed HSM Crypto Service Encryption User" \
        --scope "/" \
        --hsm-name <hsm-name> \
        --assignee-object-id <managed-identity>

<managed-identity> を、ワークスペースを暗号化用に準備したときにメモした principalId 値に置き換えます。

カスタマー マネージド キーによる DEFS 暗号化を構成する

Azure Databricks ワークスペースを構成して、Azure Key Vault で作成したキーを使用します。

プレースホルダーの値は、実際の値に置き換えます。

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>

カスタマー マネージド キーを無効にする

カスタマー マネージド キーを無効にすると、ストレージ アカウントは、Microsoft が管理するキーを使用して再び暗号化されます。

かっこ内のプレースホルダー値を独自の値に置き換え、前の手順で定義した変数を使用してください。

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default