Configurar chaves HSM Gerenciadas pelo cliente para o DBFS utilizando a CLI do Azure
Observação
Esse recurso está disponível somente com o plano Premium.
Você pode usar a CLI do Azure para configurar a sua própria chave de criptografia para criptografar a conta de armazenamento do workspace. Este artigo descreve como configurar sua própria chave HSM gerenciado do Azure Key Vault. Para obter instruções sobre como usar uma chave de cofres do Azure Key Vault, consulteConfigurar chaves gerenciadas pelo cliente para DBFS usando a CLI do Azure.
Importante
O Key Vault deve estar no mesmo locatário do Azure que o workspace do Azure Databricks.
Para obter mais informações sobre chaves gerenciadas pelo cliente para DBFS, confira Chaves gerenciadas pelo cliente da raiz do DBFS.
Instalar a extensão de CLI do Azure Databricks
Instale a extensão de CLI do Azure Databricks.
az extension add --name databricks
Preparar um workspace novo ou existente do Azure Databricks para criptografia
Substitua os valores de espaço reservado entre colchetes por valores próprios. O <workspace-name>
é o nome do recurso conforme exibido no portal do Azure.
az login
az account set --subscription <subscription-id>
Prepare para a criptografia durante a criação do workspace:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Prepare um workspace existente para criptografia:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Observe o campo principalId
na seção storageAccountIdentity
da saída do comando. Você o fornecerá como o valor da identidade gerenciada ao configurar a atribuição de função em seu Key Vault.
Para obter mais informações sobre comandos da CLI do Azure para espaços de trabalho do Azure Databricks, consulte a referência de comandos do espaço de trabalho do az databricks.
Criar um HSM gerenciado do Azure Key Vault e uma chave HSM
Você pode usar um HSM gerenciado do Azure Key Vault existente ou criar e ativar um novo após o Início Rápido: provisionar e ativar um HSM Gerenciado usando a CLI do Azure. O HSM gerenciado do Azure Key Vault deve ter a Proteção contra Limpeza habilitada.
Para criar uma chave HSM, siga Criar uma chave HSM.
Configurar a atribuição de função HSM gerenciado
Configure uma atribuição de função para o HSM gerenciado do Key Vault para que seu workspace do Azure Databricks tenha permissão para acessá-lo. Substitua os valores de espaço reservado entre colchetes por seus valores.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
Substitua <managed-identity>
pelo valor principalId
que você anotou quando preparou o workspace para criptografia.
Configurar a criptografia do DBFS com chaves gerenciadas pelo cliente
Configure seu workspace do Azure Databricks para usar a chave que você criou no Azure Key Vault.
Substitua os valores do espaço reservado pelos seus.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Desabilitar as chaves gerenciadas pelo cliente
Quando você desabilita chaves gerenciadas pelo cliente, a conta de armazenamento é criptografada novamente com chaves gerenciadas pela Microsoft.
Substitua os valores de espaço reservado entre colchetes por valores próprios e use as variáveis definidas nas etapas anteriores.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default