다음을 통해 공유


Azure CLI를 사용하여 DBFS에 대한 고객 관리형 키 구성

참고 항목

이 기능은 프리미엄 플랜에서만 사용할 수 있습니다.

Azure CLI를 사용하여 작업 영역 스토리지 계정을 암호화하도록 사용자 고유의 암호화 키를 구성할 수 있습니다. 이 문서에서는 Azure Key Vault 자격 증명 모음에서 사용자 고유의 키를 구성하는 방법을 설명합니다. Azure Key Vault 관리형 HSM에서 키를 사용하는 방법에 대한 지침은 Azure CLI를 사용하여 DBFS에 대한 HSM 고객 관리형 키 구성을 참조하세요.

DBFS에 대한 고객 관리형 키에 대한 자세한 내용은 DBFS 루트에 대한 고객 관리형 키를 참조하세요.

Azure Databricks CLI 확장 설치

  1. Azure CLI를 설치합니다.

  2. Azure Databricks CLI 확장 설치

    az extension add --name databricks
    

암호화를 위해 신규 또는 기존 Azure Databricks 작업 영역 준비

대괄호 안에 있는 자리 표시자 값을 사용자 고유의 값으로 바꿉니다. <workspace-name>은(는) Azure Portal에 표시되는 리소스 이름입니다.

az login
az account set --subscription <subscription-id>

작업 영역을 만드는 동안 암호화 준비:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption

암호화를 위해 기존 작업 영역 준비:

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption

명령 출력의 principalId 섹션에 있는 storageAccountIdentity 필드를 확인합니다. Key Vault를 구성할 때 관리 ID 값으로 제공합니다.

Azure Databricks 작업 영역에 대한 Azure CLI 명령에 대한 자세한 내용은 az databricks 작업 영역 명령 참조를 참조하세요.

새 Key Vault 만들기

DBFS 루트에 대한 고객 관리형 키를 저장하는 데 사용하는 Key Vault에는 일시 삭제제거 보호라는 두 가지 키 보호 설정이 활성화되어 있어야 합니다. 이러한 설정을 사용하도록 설정된 새 Key Vault를 만들려면 다음 명령을 실행합니다.

Important

KeyVault는 Azure Databricks 작업 영역과 동일한 Azure 테넌트에 있어야 합니다.

대괄호 안에 있는 자리 표시자 값을 사용자 고유의 값으로 바꿉니다.

az keyvault create \
        --name <key-vault> \
        --resource-group <resource-group> \
        --location <region> \
        --enable-soft-delete \
        --enable-purge-protection

Azure CLI를 사용하여 일시 삭제 및 제거 방지를 사용하도록 설정하는 방법에 대한 자세한 내용은 CLI에서 Key Vault 일시 삭제를 사용하는 방법을 참조하세요.

Key Vault 액세스 정책 구성

az keyvault set-policy 명령을 사용하여 Azure Databricks 작업 영역에 Key Vault에 대한 액세스 권한을 부여하도록 액세스 정책을 설정합니다.

대괄호 안에 있는 자리 표시자 값을 사용자 고유의 값으로 바꿉니다.

az keyvault set-policy \
        --name <key-vault> \
        --resource-group <resource-group> \
        --object-id <managed-identity>  \
        --key-permissions get unwrapKey wrapKey

<managed-identity>할 때 기록해둔 principalId 값으로 을(를) 바꿉니다.

새 키 만들기

az keyvault key create 명령을 사용하여 Key Vault에서 키를 만듭니 다.

대괄호 안에 있는 자리 표시자 값을 사용자 고유의 값으로 바꿉니다.

az keyvault key create \
       --name <key> \
       --vault-name <key-vault>

DBFS 루트 스토리지는 2048, 3072, 4096 크기의 RSA 및 RSA-HSM 키를 지원합니다. 키에 관한 자세한 내용은 Key Vault 키 정보를 참조하세요.

고객 관리형 키로 DBFS 암호화 구성

Azure Key Vault에서 만든 키를 사용하도록 Azure Databricks 작업 영역을 구성합니다.

대괄호 안에 있는 자리 표시자 값을 사용자 고유의 값으로 바꿉니다.

key_vault_uri=$(az keyvault show \
 --name <key-vault> \
 --resource-group <resource-group> \
 --query properties.vaultUri \
--output tsv)
key_version=$(az keyvault key list-versions \
 --name <key> \ --vault-name <key-vault> \
 --query [-1].kid \
--output tsv | cut -d '/' -f 6)
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault $key_vault_uri --key-version $key_version

고객 관리형 키 사용 안 함

고객 관리형 키를 사용하지 않도록 설정하면 스토리지 계정이 Microsoft 관리형 키로 다시 한 번 암호화됩니다.

대괄호 안의 자리 표시자 값을 사용자 고유의 값으로 바꾸고 이전 단계에서 정의한 변수를 사용합니다.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default