Configurar chaves gerenciadas pelo cliente HSM para DBFS usando a CLI do Azure
Nota
Esta funcionalidade está disponível apenas no plano Premium.
Você pode usar a CLI do Azure para configurar sua própria chave de criptografia para criptografar a conta de armazenamento do espaço de trabalho. Este artigo descreve como configurar sua própria chave do Azure Key Vault Managed HSM. Para obter instruções sobre como usar uma chave dos cofres do Cofre de Chaves do Azure, consulte Configurar chaves gerenciadas pelo cliente para DBFS usando a CLI do Azure.
Importante
O Cofre da Chave deve estar no mesmo locatário do Azure que seu espaço de trabalho do Azure Databricks.
Para obter mais informações sobre chaves gerenciadas pelo cliente para DBFS, consulte Chaves gerenciadas pelo cliente para raiz DBFS.
Instalar a extensão da CLI do Azure Databricks
Instale a CLI do Azure.
Instale a extensão CLI do Azure Databricks.
az extension add --name databricks
Preparar um espaço de trabalho do Azure Databricks novo ou existente para criptografia
Substitua os valores de marcador entre colchetes pelos seus próprios valores. O <workspace-name> é o nome do recurso conforme exibido no portal do Azure.
az login
az account set --subscription <subscription-id>
Prepare-se para a criptografia durante a criação do espaço de trabalho:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Prepare um espaço de trabalho existente para criptografia:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Observe o principalIdstorageAccountIdentity campo na seção da saída do comando. Você irá fornecê-lo como o valor de identidade gerenciada quando configurar a atribuição de função em seu Cofre de Chaves.
Para obter mais informações sobre os comandos da CLI do Azure para espaços de trabalho do Azure Databricks, consulte a referência de comando az databricks workspace.
Criar um HSM gerenciado do Azure Key Vault e uma chave HSM
Você pode usar um HSM gerenciado do Azure Key Vault existente ou criar e ativar um novo a seguir Guia de início rápido: provisionar e ativar um HSM gerenciado usando a CLI do Azure. O HSM Gerenciado do Azure Key Vault deve ter a Proteção contra Limpeza habilitada.
Para criar uma chave HSM, siga Criar uma chave HSM.
Configurar a atribuição de função do HSM gerenciado
Configure uma atribuição de função para o HSM gerenciado do Cofre de Chaves para que seu espaço de trabalho do Azure Databricks tenha permissão para acessá-lo. Substitua os valores de marcador entre colchetes pelos seus próprios valores.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
Substitua <managed-identity> pelo principalId valor que você anotou quando preparou seu espaço de trabalho para criptografia.
Configurar a criptografia DBFS com chaves gerenciadas pelo cliente
Configure seu espaço de trabalho do Azure Databricks para usar a chave que você criou em seu Cofre de Chaves do Azure.
Substitua os valores de marcadores de posição por seus próprios valores.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Desativar chaves gerenciadas pelo cliente
Quando você desabilita chaves gerenciadas pelo cliente, sua conta de armazenamento é novamente criptografada com chaves gerenciadas pela Microsoft.
Substitua os valores nas placeholders entre colchetes pelos seus próprios valores, utilizando as variáveis definidas nas etapas anteriores.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default