Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu interfejsu wiersza polecenia platformy Azure
Uwaga
Ta funkcja jest dostępna tylko w planie Premium.
Interfejs wiersza polecenia platformy Azure umożliwia skonfigurowanie własnego klucza szyfrowania w celu zaszyfrowania konta magazynu obszaru roboczego. W tym artykule opisano sposób konfigurowania własnego klucza z zarządzanego modułu HSM usługi Azure Key Vault. Aby uzyskać instrukcje dotyczące używania klucza z magazynów usługi Azure Key Vault, zobacz Konfigurowanie kluczy zarządzanych przez klienta dla systemu plików DBFS przy użyciu interfejsu wiersza polecenia platformy Azure.
Ważne
Usługa Key Vault musi znajdować się w tej samej dzierżawie platformy Azure co obszar roboczy usługi Azure Databricks.
Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta dla systemu plików DBFS, zobacz Klucze zarządzane przez klienta dla katalogu głównego systemu plików DBFS.
Instalowanie rozszerzenia interfejsu wiersza polecenia usługi Azure Databricks
Zainstaluj interfejs wiersza polecenia platformy Azure.
Zainstaluj rozszerzenie interfejsu wiersza polecenia usługi Azure Databricks.
az extension add --name databricks
Przygotowywanie nowego lub istniejącego obszaru roboczego usługi Azure Databricks do szyfrowania
Zastąp symbol zastępczy values w nawiasach własnymi values. Jest <workspace-name>
to nazwa zasobu wyświetlana w witrynie Azure Portal.
az login
az account set --subscription <subscription-id>
Przygotowanie do szyfrowania podczas tworzenia obszaru roboczego:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Przygotuj istniejący obszar roboczy do szyfrowania:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Zanotuj principalId
storageAccountIdentity
pole w sekcji danych wyjściowych polecenia. Podczas konfigurowania przypisania roli w usłudze Key Vault należy podać ją jako wartość tożsamości zarządzanej.
Aby uzyskać więcej informacji na temat poleceń interfejsu wiersza polecenia platformy Azure dla obszarów roboczych usługi Azure Databricks, zobacz dokumentację poleceń az databricks workspace.
Tworzenie zarządzanego modułu HSM usługi Azure Key Vault i klucza HSM
Możesz użyć istniejącego zarządzanego modułu HSM usługi Azure Key Vault lub utworzyć i aktywować nowy z następujących przewodników Szybki start: aprowizuj i aktywuj zarządzany moduł HSM przy użyciu interfejsu wiersza polecenia platformy Azure. Zarządzany moduł HSM usługi Azure Key Vault musi mieć włączoną ochronę przed przeczyszczeniem .
Aby utworzyć klucz HSM, wykonaj czynności opisane w sekcji Tworzenie klucza HSM.
Konfigurowanie przypisania roli zarządzanego modułu HSM
Skonfiguruj przypisanie roli dla zarządzanego modułu HSM usługi Key Vault, aby obszar roboczy usługi Azure Databricks miał uprawnienia dostępu do niego. Zastąp symbol zastępczy values w nawiasach własnymi values.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
Zastąp <managed-identity>
principalId
wartość zanotowaną podczas przygotowywania obszaru roboczego do szyfrowania.
Konfigurowanie szyfrowania DBFS przy użyciu kluczy zarządzanych przez klienta
Skonfiguruj obszar roboczy usługi Azure Databricks pod kątem użycia klucza utworzonego w usłudze Azure Key Vault.
Zastąp symbol zastępczy values własnym values.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Wyłączanie kluczy zarządzanych przez klienta
Po wyłączeniu kluczy zarządzanych przez klienta konto magazynu jest ponownie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.
Zastąp symbol zastępczy values w nawiasach własnymi values i użyj zmiennych zdefiniowanych w poprzednich krokach.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default