Delen via

Door de klant beheerde HSM-sleutels configureren voor DBFS met behulp van PowerShell

  • Artikel

Notitie

Deze functie is alleen beschikbaar in het Premium-abonnement.

U kunt PowerShell gebruiken om uw eigen versleutelingssleutel te configureren voor het versleutelen van het opslagaccount van de werkruimte. In dit artikel wordt beschreven hoe u uw eigen sleutel configureert vanuit azure Key Vault Managed HSM. Zie Door de klant beheerde sleutels configureren voor DBFS met behulp van PowerShell voor instructies over het gebruik van een sleutel uit Azure Key Vault-kluizen.

Belangrijk

De Key Vault moet zich in dezelfde Azure-tenant bevinden als uw Azure Databricks-werkruimte.

Zie voor meer informatie over door de klant beheerde sleutels voor DBFS de door de klant beheerde sleutels voor de DBFS-hoofdmap.

De Azure Databricks PowerShell-module installeren

  1. Installeer Azure PowerShell.
  2. Installeer de Azure Databricks PowerShell-module.

Een nieuwe of bestaande Azure Databricks-werkruimte voorbereiden voor versleuteling

Vervang de plaatsaanduidingen tussen haken door uw eigen waarden. Dit <workspace-name> is de resourcenaam die wordt weergegeven in Azure Portal.

Versleuteling voorbereiden wanneer u een werkruimte maakt:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Een bestaande werkruimte voorbereiden voor versleuteling:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Zie de naslaginformatie over Az.Databricks voor meer informatie over PowerShell-cmdlets voor Azure Databricks-werkruimten.

Een door Azure Key Vault beheerde HSM en een HSM-sleutel maken

U kunt een bestaande beheerde HSM van Azure Key Vault gebruiken of een nieuwe quickstart maken en activeren: Een beheerde HSM inrichten en activeren met behulp van PowerShell. Voor de beheerde HSM van Azure Key Vault moet Purge Protection zijn ingeschakeld.

Als u een HSM-sleutel wilt maken, volgt u Een HSM-sleutel maken.

De toewijzing van de beheerde HSM-rol configureren

Configureer een roltoewijzing voor de beheerde HSM van Key Vault, zodat uw Azure Databricks-werkruimte gemachtigd is om deze te openen. Vervang de plaatswaarden in vierkante haken door uw eigen waarden.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentityPrincipalId

DBFS-versleuteling configureren met door de klant beheerde sleutels

Configureer uw Azure Databricks-werkruimte om de sleutel te gebruiken die u hebt gemaakt in uw Azure Key Vault. Vervang de tijdelijke aanduidingen tussen vierkante haken door uw eigen waarden.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Door de klant beheerde sleutels uitschakelen

Wanneer u door de klant beheerde sleutels uitschakelt, wordt uw opslagaccount opnieuw versleuteld met door Microsoft beheerde sleutels.

Vervang de tijdelijke aanduidingen tussen haakjes door uw eigen waarden en gebruik de variabelen die in de vorige stappen zijn gedefinieerd.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default