настройка ключей, управляемых клиентом, для DBFS с помощью Azure CLI;

Примечание.

Эта функция доступна только в плане Premium.

Azure CLI можно использовать для настройки собственного ключа шифрования для шифрования учетной записи хранения рабочей области. В этой статье описывается настройка собственного ключа из хранилищ Azure Key Vault. Инструкции по использованию ключа из управляемого HSM в Azure Key Vault см. в статье Настройка ключей, управляемых клиентом HSM для DBFS, с помощью Azure CLI.

Дополнительные сведения о ключах, управляемых клиентом для DBFS, см. в разделе "Ключи, управляемые клиентом" для корневого каталога DBFS.

Установка расширения Azure Databricks CLI

1. Установка Azure CLI.

2. Установка расширения Azure Databricks CLI.

   az extension add --name databricks
   

Подготовка новой или существующей рабочей области Azure Databricks к шифрованию

Замените значения заполнителей в квадратных скобках собственными значениями. <workspace-name> — это имя ресурса, отображаемое на портале Azure.

az login
az account set --subscription <subscription-id>

Подготовка к шифрованию во время создания рабочей области:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption

Подготовка существующей рабочей области к шифрованию:

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption

Обратите внимание на поле principalId в разделе выходных данных команды storageAccountIdentity. При настройке Key Vault вы предоставите его в качестве значения управляемого удостоверения.

Дополнительные сведения о командах Azure CLI для рабочих областей Azure Databricks см. в справочнике по командам в рабочих областях az databricks.

Создание Key Vault

Хранилище ключей, используемое для хранения ключей, управляемых клиентом, для корневого каталога DBFS, должно иметь два параметра защиты ключей, обратимое удаление и защита от очистки. Чтобы создать хранилище ключей с включенными параметрами, выполните следующие команды.

Внимание

Хранилище ключей должно находиться в том же клиенте Azure, что и рабочая область Azure Databricks.

Замените значения заполнителей в квадратных скобках собственными значениями.

az keyvault create \
        --name <key-vault> \
        --resource-group <resource-group> \
        --location <region> \
        --enable-soft-delete \
        --enable-purge-protection

Дополнительные сведения о включении обратимого удаления и защиты от очистки с помощью командной строки Azure см. в разделе Использование обратимого удаления в хранилище ключей с помощью интерфейса командной строки.

Настройка политики доступа Key Vault

Задайте политику доступа для Key Vault, чтобы рабочая область Azure Databricks получила разрешение на доступ к ней, используя команду az keyvault set-policy.

Замените значения заполнителей в квадратных скобках собственными значениями.

az keyvault set-policy \
        --name <key-vault> \
        --resource-group <resource-group> \
        --object-id <managed-identity>  \
        --key-permissions get unwrapKey wrapKey

Замените <managed-identity> на значение principalId, записанное при подготовке рабочей области к шифрованию.

Создание ключа

Создайте ключ в Key Vault с помощью команды az keyvault key create .

Замените значения заполнителей в квадратных скобках собственными значениями.

az keyvault key create \
       --name <key> \
       --vault-name <key-vault>

Хранилище корневых DBFS поддерживает ключи RSA и RSA-HSM размером 2048, 3072 и 4096. Дополнительные сведения о ключах см. в статье Ключи Key Vault.

Настройка шифрования DBFS с использованием ключей, управляемых клиентом

Настройте рабочую область Azure Databricks для использования ключа, созданного в Azure Key Vault.

Замените значения заполнителей в квадратных скобках собственными значениями.

key_vault_uri=$(az keyvault show \
 --name <key-vault> \
 --resource-group <resource-group> \
 --query properties.vaultUri \
--output tsv)

key_version=$(az keyvault key list-versions \
 --name <key> \ --vault-name <key-vault> \
 --query [-1].kid \
--output tsv | cut -d '/' -f 6)

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault $key_vault_uri --key-version $key_version

Отключение ключей, управляемых клиентом

При отключении ключей, управляемых клиентом, ваша учетная запись хранения снова будет шифроваться с помощью ключей, управляемых корпорацией Майкрософт.

Замените значения заполнителя в скобках собственными значениями и используйте переменные, определенные на предыдущих шагах.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default