Partilhar via


Configurar chaves geridas pelo cliente para DBFS através do CLI do Azure

Nota

Esta funcionalidade está disponível apenas no plano Premium.

Você pode usar a CLI do Azure para configurar sua própria chave de criptografia para criptografar a conta de armazenamento do espaço de trabalho. Este artigo descreve como configurar a sua própria chave a partir dos cofres do Azure Key Vault. Para obter instruções sobre como usar uma chave do HSM gerenciado do Azure Key Vault, consulte Configurar chaves gerenciadas pelo cliente do HSM para DBFS usando a CLI do Azure.

Para obter mais informações sobre chaves gerenciadas pelo cliente para DBFS, consulte Chaves gerenciadas pelo cliente para raiz DBFS.

Instalar a extensão da CLI do Azure Databricks

  1. Instale a CLI do Azure.

  2. Instale a extensão CLI do Azure Databricks.

    az extension add --name databricks
    

Preparar um espaço de trabalho do Azure Databricks novo ou existente para criptografia

Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores. O <workspace-name> é o nome do recurso conforme exibido no portal do Azure.

az login
az account set --subscription <subscription-id>

Prepare-se para a criptografia durante a criação do espaço de trabalho:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption

Prepare um espaço de trabalho existente para criptografia:

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption

Observe o principalId storageAccountIdentity campo na seção da saída do comando. Você irá fornecê-lo como o valor de identidade gerenciada quando configurar seu Cofre de Chaves.

Para obter mais informações sobre os comandos da CLI do Azure para espaços de trabalho do Azure Databricks, consulte a referência de comando az databricks workspace.

Criar um Cofre de Chaves novo

O Cofre de Chaves que você usa para armazenar chaves gerenciadas pelo cliente para a raiz DBFS deve ter duas configurações de proteção de chave habilitadas, Soft Delete e Purge Protection. Para criar um novo Cofre da Chave com essas configurações habilitadas, execute os seguintes comandos.

Importante

O Cofre da Chave deve estar no mesmo locatário do Azure que seu espaço de trabalho do Azure Databricks.

Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores.

az keyvault create \
        --name <key-vault> \
        --resource-group <resource-group> \
        --location <region> \
        --enable-soft-delete \
        --enable-purge-protection

Para obter mais informações sobre como habilitar a Exclusão Suave e a Proteção contra Limpeza usando a CLI do Azure, consulte Como usar a exclusão suave do Cofre da Chave com a CLI.

Configurar a política de acesso ao Cofre da Chave

Defina a política de acesso para o Cofre da Chave para que o espaço de trabalho do Azure Databricks tenha permissão para acessá-lo, usando o comando az keyvault set-policy .

Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores.

az keyvault set-policy \
        --name <key-vault> \
        --resource-group <resource-group> \
        --object-id <managed-identity>  \
        --key-permissions get unwrapKey wrapKey

Substitua <managed-identity> pelo principalId valor que você anotou quando preparou seu espaço de trabalho para criptografia.

Criar uma nova chave

Crie uma chave no Cofre da Chave usando o comando az keyvault key create .

Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores.

az keyvault key create \
       --name <key> \
       --vault-name <key-vault>

O armazenamento raiz DBFS suporta chaves RSA e RSA-HSM dos tamanhos 2048, 3072 e 4096. Para obter mais informações sobre as chaves, veja Acerca das chaves do Key Vault).

Configurar a criptografia DBFS com chaves gerenciadas pelo cliente

Configure seu espaço de trabalho do Azure Databricks para usar a chave que você criou em seu Cofre de Chaves do Azure.

Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores.

key_vault_uri=$(az keyvault show \
 --name <key-vault> \
 --resource-group <resource-group> \
 --query properties.vaultUri \
--output tsv)
key_version=$(az keyvault key list-versions \
 --name <key> \ --vault-name <key-vault> \
 --query [-1].kid \
--output tsv | cut -d '/' -f 6)
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault $key_vault_uri --key-version $key_version

Desativar chaves gerenciadas pelo cliente

Quando você desabilita chaves gerenciadas pelo cliente, sua conta de armazenamento é novamente criptografada com chaves gerenciadas pela Microsoft.

Substitua os valores de espaço reservado entre colchetes por seus próprios valores e use as variáveis definidas nas etapas anteriores.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default