Door klant beheerde sleutels configureren voor DBFS met de Azure CLI
Notitie
Deze functie is alleen beschikbaar in het Premium-abonnement.
U kunt de Azure CLI gebruiken om uw eigen versleutelingssleutel te configureren voor het versleutelen van het opslagaccount van de werkruimte. In dit artikel wordt beschreven hoe u uw eigen sleutel configureert vanuit Azure Key Vault-kluizen. Zie HSM door de klant beheerde HSM-sleutels voor DBFS configureren met behulp van de Azure CLI voor instructies over het gebruik van een sleutel uit Azure Key Vault Managed HSM.
Zie voor meer informatie over door de klant beheerde sleutels voor DBFS de door de klant beheerde sleutels voor de DBFS-hoofdmap.
De Azure Databricks CLI-extensie installeren
Installeer de Azure Databricks CLI-extensie.
az extension add --name databricks
Een nieuwe of bestaande Azure Databricks-werkruimte voorbereiden voor versleuteling
Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values. Dit <workspace-name>
is de resourcenaam die wordt weergegeven in Azure Portal.
az login
az account set --subscription <subscription-id>
Voorbereiden op versleuteling tijdens het maken van de werkruimte:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Een bestaande werkruimte voorbereiden voor versleuteling:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Let op het principalId
veld in de storageAccountIdentity
sectie van de opdrachtuitvoer. U geeft deze op als de beheerde identiteitswaarde wanneer u uw Key Vault configureert.
Zie de opdrachtreferentie az databricks workspace voor meer informatie over Azure CLI-opdrachten voor Azure Databricks-werkruimten.
Een nieuwe sleutelkluis maken
De Sleutelkluis die u gebruikt voor het opslaan van door de klant beheerde sleutels voor de DBFS-hoofdmap, moet twee instellingen voor sleutelbeveiliging zijn ingeschakeld, Voorlopig verwijderen en Beveiliging opschonen. Voer de volgende opdrachten uit om een nieuwe Sleutelkluis te maken waarvoor deze instellingen zijn ingeschakeld.
Belangrijk
De Key Vault moet zich in dezelfde Azure-tenant bevinden als uw Azure Databricks-werkruimte.
Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values.
az keyvault create \
--name <key-vault> \
--resource-group <resource-group> \
--location <region> \
--enable-soft-delete \
--enable-purge-protection
Zie Voor meer informatie over het inschakelen van voorlopig verwijderen en opschonen met behulp van de Azure CLI key vault voorlopig verwijderen met CLI.
Key Vault-toegangsbeleid configureren
Set het toegangsbeleid voor de Key Vault zodat de Azure Databricks-werkruimte gemachtigd is om deze te openen met behulp van de opdracht az keyvault set-policy.
Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values.
az keyvault set-policy \
--name <key-vault> \
--resource-group <resource-group> \
--object-id <managed-identity> \
--key-permissions get unwrapKey wrapKey
Vervang <managed-identity>
door de principalId
waarde die u hebt genoteerd toen u uw werkruimte voorbereidde voor versleuteling.
een nieuwe sleutel maken
Maak een sleutel in de Key Vault met behulp van de opdracht az keyvault key create .
Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values.
az keyvault key create \
--name <key> \
--vault-name <key-vault>
DBFS-hoofdopslag ondersteunt RSA- en RSA-HSM-sleutels van grootte 2048, 3072 en 4096. Zie voor meer informatie over sleutels Meer informatie over sleutels van Key Vault.
DBFS-versleuteling configureren met door de klant beheerde sleutels
Configureer uw Azure Databricks-werkruimte om de sleutel te gebruiken die u hebt gemaakt in uw Azure Key Vault.
Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values.
key_vault_uri=$(az keyvault show \
--name <key-vault> \
--resource-group <resource-group> \
--query properties.vaultUri \
--output tsv)
key_version=$(az keyvault key list-versions \
--name <key> \ --vault-name <key-vault> \
--query [-1].kid \
--output tsv | cut -d '/' -f 6)
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault $key_vault_uri --key-version $key_version
Door de klant beheerde sleutels uitschakelen
Wanneer u door de klant beheerde sleutels uitschakelt, wordt uw opslagaccount opnieuw versleuteld met door Microsoft beheerde sleutels.
Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values en gebruik de variabelen die in de vorige stappen zijn gedefinieerd.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default