Поделиться через

Настройка ключей, управляемых клиентом HSM для DBFS, с помощью Azure CLI

  • Статья

Примечание.

Эта функция доступна только в плане Premium.

Azure CLI можно использовать для настройки собственного ключа шифрования для шифрования учетной записи хранения рабочей области. В этой статье описывается настройка собственного ключа из управляемого HSM в Azure Key Vault. Инструкции по использованию ключа из хранилищ Azure Key Vault см. в статье "Настройка управляемых клиентом ключей для DBFS" с помощью Azure CLI.

Внимание

Хранилище ключей должно находиться в том же клиенте Azure, что и рабочая область Azure Databricks.

Дополнительные сведения о ключах, управляемых клиентом для DBFS, см. в разделе "Ключи, управляемые клиентом" для корневого каталога DBFS.

Установка расширения Azure Databricks CLI

  1. Установка Azure CLI.

  2. Установка расширения Azure Databricks CLI.

    az extension add --name databricks

Подготовка новой или существующей рабочей области Azure Databricks к шифрованию

Замените значения заполнителей в скобках своими собственными значениями. <workspace-name> — это имя ресурса, отображаемое на портале Azure.

az login
az account set --subscription <subscription-id>

Подготовка к шифрованию во время создания рабочей области:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption

Подготовка существующей рабочей области к шифрованию:

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption

Обратите внимание на поле principalId в разделе выходных данных команды storageAccountIdentity. Вы предоставите его в качестве значения управляемого удостоверения при настройке назначения ролей в Key Vault.

Дополнительные сведения о командах Azure CLI для рабочих областей Azure Databricks см. в справочнике по командам в рабочих областях az databricks.

Создание управляемого HSM в Azure Key Vault и ключа HSM

Вы можете использовать существующий управляемый HSM в Azure Key Vault или создать и активировать новую следующую краткое руководство. Подготовка и активация управляемого HSM с помощью Azure CLI. Управляемый модуль HSM в Azure Key Vault должен иметь включенную защиту очистки.

Чтобы создать ключ HSM, следуйте инструкциям по созданию ключа HSM.

Настройка назначения роли управляемого устройства HSM

Настройте назначение ролей для управляемого HSM Key Vault, чтобы рабочая область Azure Databricks получила разрешение на доступ к нему. Замените значения заполнителей в скобках своими собственными значениями.

az keyvault role assignment create \
        --role "Managed HSM Crypto Service Encryption User" \
        --scope "/" \
        --hsm-name <hsm-name> \
        --assignee-object-id <managed-identity>

Замените <managed-identity> на значение principalId, записанное при подготовке рабочей области к шифрованию.

Настройка шифрования DBFS с использованием ключей, управляемых клиентом

Настройте рабочую область Azure Databricks для использования ключа, созданного в Azure Key Vault.

Замените значения заполнителей собственными значениями.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>

Отключение ключей, управляемых клиентом

При отключении ключей, управляемых клиентом, ваша учетная запись хранения снова будет шифроваться с помощью ключей, управляемых корпорацией Майкрософт.

Замените значения заполнителей в скобках своими собственными значениями и используйте переменные, определенные в ходе предыдущих шагов.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default