Udostępnij za pośrednictwem

Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą programu PowerShell

  • Artykuł

Uwaga

Ta funkcja jest dostępna tylko w planie Premium.

Program PowerShell umożliwia skonfigurowanie własnego klucza szyfrowania w celu zaszyfrowania konta magazynu obszaru roboczego. W tym artykule opisano sposób konfigurowania własnego klucza z magazynów usługi Azure Key Vault. Aby uzyskać instrukcje dotyczące używania klucza z zarządzanego modułu HSM usługi Azure Key Vault, zobacz Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu programu PowerShell.

Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta dla systemu plików DBFS, zobacz Klucze zarządzane przez klienta dla katalogu głównego systemu plików DBFS.

Instalowanie modułu programu PowerShell usługi Azure Databricks

  1. Zainstalowanie programu Azure PowerShell.
  2. Zainstaluj moduł Programu PowerShell usługi Azure Databricks.

Przygotowywanie nowego lub istniejącego obszaru roboczego usługi Azure Databricks do szyfrowania

Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami. Jest <workspace-name> to nazwa zasobu wyświetlana w witrynie Azure Portal.

Przygotowanie szyfrowania podczas tworzenia obszaru roboczego:

$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Przygotuj istniejący obszar roboczy do szyfrowania:

$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Aby uzyskać więcej informacji na temat poleceń cmdlet programu PowerShell dla obszarów roboczych usługi Azure Databricks, zobacz dokumentację modułu Az.Databricks.

Tworzenie nowego magazynu kluczy

Usługa Azure Key Vault używana do przechowywania kluczy zarządzanych przez klienta dla domyślnego systemu plików DBFS (root) musi mieć włączone dwa ustawienia ochrony kluczy, usuwanie nietrwałe i ochronę przed przeczyszczeniem.

Ważne

Usługa Key Vault musi znajdować się w tej samej dzierżawie platformy Azure co obszar roboczy usługi Azure Databricks.

W wersji 2.0.0 lub nowszej modułu Az.KeyVault usuwanie nietrwałe jest domyślnie włączone podczas tworzenia nowego magazynu kluczy.

Poniższy przykład tworzy nowy magazyn kluczy z włączonymi właściwościami Usuwanie nietrwałe i Przeczyszczanie ochrony. Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami.

$keyVault = New-AzKeyVault -Name <key-vault> `
     -ResourceGroupName <resource-group> `
     -Location <location> `
     -EnablePurgeProtection

Aby dowiedzieć się, jak włączyć usuwanie nietrwałe i ochronę przed przeczyszczeniem w istniejącym magazynie Key Vault przy użyciu programu PowerShell, zobacz "Włączanie usuwania nietrwałego" i "Włączanie ochrony przed przeczyszczeniem" w temacie Jak używać usuwania nietrwałego usługi Key Vault za pomocą programu PowerShell.

Konfigurowanie zasad dostępu usługi Key Vault

Ustaw zasady dostępu dla usługi Key Vault, aby obszar roboczy usługi Azure Databricks miał uprawnienia dostępu do niego przy użyciu polecenia Set-AzKeyVaultAccessPolicy.

Set-AzKeyVaultAccessPolicy `
      -VaultName $keyVault.VaultName `
      -ObjectId $workspace.StorageAccountIdentity.PrincipalId `
      -PermissionsToKeys wrapkey,unwrapkey,get

Tworzenie nowego klucza

Utwórz nowy klucz w usłudze Key Vault przy użyciu polecenia cmdlet Add-AzKeyVaultKey . Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

Magazyn główny DBFS obsługuje klucze RSA i RSA-HSM o rozmiarach 2048, 3072 i 4096. Aby uzyskać więcej informacji na temat kluczy, zobacz Informacje o kluczach magazynu kluczy).

Konfigurowanie szyfrowania DBFS przy użyciu kluczy zarządzanych przez klienta

Skonfiguruj obszar roboczy usługi Azure Databricks pod kątem użycia klucza utworzonego w usłudze Azure Key Vault. Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
      -Name <workspace-name>
     -EncryptionKeySource Microsoft.Keyvault `
     -EncryptionKeyName $key.Name `
     -EncryptionKeyVersion $key.Version `
     -EncryptionKeyVaultUri $keyVault.VaultUri

Wyłączanie kluczy zarządzanych przez klienta

Po wyłączeniu kluczy zarządzanych przez klienta konto magazynu jest ponownie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.

Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami i użyj zmiennych zdefiniowanych w poprzednich krokach.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default