Delen via

Door klant beheerde sleutels configureren voor DBFS met PowerShell

  • Artikel

Notitie

Deze functie is alleen beschikbaar in het Premium-abonnement.

U kunt PowerShell gebruiken om uw eigen versleutelingssleutel te configureren voor het versleutelen van het opslagaccount van de werkruimte. In dit artikel wordt beschreven hoe u uw eigen sleutel configureert vanuit Azure Key Vault-kluizen. Zie HSM door de klant beheerde HSM-sleutels configureren voor DBFS met behulp van PowerShell voor instructies over het gebruik van een sleutel uit Azure Key Vault Managed HSM.

Zie voor meer informatie over door de klant beheerde sleutels voor DBFS de door de klant beheerde sleutels voor de DBFS-hoofdmap.

De Azure Databricks PowerShell-module installeren

  1. Installeer Azure PowerShell.
  2. Installeer de Azure Databricks PowerShell-module.

Een nieuwe of bestaande Azure Databricks-werkruimte voorbereiden voor versleuteling

Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values. Dit <workspace-name> is de resourcenaam die wordt weergegeven in Azure Portal.

Versleuteling voorbereiden wanneer u een werkruimte maakt:

$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Een bestaande werkruimte voorbereiden voor versleuteling:

$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Zie de naslaginformatie over Az.Databricks voor meer informatie over PowerShell-cmdlets voor Azure Databricks-werkruimten.

Een nieuwe sleutelkluis maken

De Azure Key Vault die u gebruikt voor het opslaan van door de klant beheerde sleutels voor standaard dbFS (root) moet twee instellingen voor sleutelbeveiliging zijn ingeschakeld, Voorlopig verwijderen en Beveiliging opschonen.

Belangrijk

De Key Vault moet zich in dezelfde Azure-tenant bevinden als uw Azure Databricks-werkruimte.

In versie 2.0.0 en hoger van de Az.KeyVault module is voorlopig verwijderen standaard ingeschakeld wanneer u een nieuwe Sleutelkluis maakt.

In het volgende voorbeeld wordt een nieuwe sleutelkluis gemaakt met de eigenschappen Voorlopig verwijderen en Beveiliging opschonen ingeschakeld. Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values.

$keyVault = New-AzKeyVault -Name <key-vault> `
     -ResourceGroupName <resource-group> `
     -Location <location> `
     -EnablePurgeProtection

Zie 'Voorlopig verwijderen inschakelen' en 'Beveiliging tegen opschonen inschakelen' in Key Vault met PowerShell voor meer informatie over het inschakelen van voorlopig verwijderen en opschonen van een bestaande sleutelkluis met PowerShell.

Key Vault-toegangsbeleid configureren

Set het toegangsbeleid voor de Key Vault zodat de Azure Databricks-werkruimte gemachtigd is om deze te openen met behulp van Set-AzKeyVaultAccessPolicy.

Set-AzKeyVaultAccessPolicy `
      -VaultName $keyVault.VaultName `
      -ObjectId $workspace.StorageAccountIdentity.PrincipalId `
      -PermissionsToKeys wrapkey,unwrapkey,get

een nieuwe sleutel maken

Maak een nieuwe sleutel in key vault met behulp van de cmdlet Add-AzKeyVaultKey . Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

DBFS-hoofdopslag ondersteunt RSA- en RSA-HSM-sleutels van grootte 2048, 3072 en 4096. Zie voor meer informatie over sleutels Meer informatie over sleutels van Key Vault.

DBFS-versleuteling configureren met door de klant beheerde sleutels

Configureer uw Azure Databricks-werkruimte om de sleutel te gebruiken die u hebt gemaakt in uw Azure Key Vault. Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
      -Name <workspace-name>
     -EncryptionKeySource Microsoft.Keyvault `
     -EncryptionKeyName $key.Name `
     -EncryptionKeyVersion $key.Version `
     -EncryptionKeyVaultUri $keyVault.VaultUri

Door de klant beheerde sleutels uitschakelen

Wanneer u door de klant beheerde sleutels uitschakelt, wordt uw opslagaccount opnieuw versleuteld met door Microsoft beheerde sleutels.

Vervang de tijdelijke aanduiding values tussen vierkante haken door uw eigen values en gebruik de variabelen die in de vorige stappen zijn gedefinieerd.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default