Dela via

Konfigurera kundhanterade HSM-nycklar för DBFS med hjälp av Azure CLI

  • Artikel

Kommentar

Den här funktionen är endast tillgänglig i Premium-planen.

Du kan använda Azure CLI för att konfigurera din egen krypteringsnyckel för att kryptera lagringskontot för arbetsytan. Den här artikeln beskriver hur du konfigurerar din egen nyckel från Azure Key Vault Managed HSM. Anvisningar om hur du använder en nyckel från Azure Key Vault-valv finns i Konfigurera kundhanterade nycklar för DBFS med hjälp av Azure CLI.

Viktigt!

Key Vault måste finnas i samma Azure-klientorganisation som din Azure Databricks-arbetsyta.

Mer information om kundhanterade nycklar för DBFS finns i Kundhanterade nycklar för DBFS-rot.

Installera Azure Databricks CLI-tillägget

  1. Installera Azure CLI.

  2. Installera Azure Databricks CLI-tillägget.

    az extension add --name databricks

Förbereda en ny eller befintlig Azure Databricks-arbetsyta för kryptering

Ersätt platshållaren values inom hakparenteser med din egen values. <workspace-name> är resursnamnet som visas i Azure Portal.

az login
az account set --subscription <subscription-id>

Förbered för kryptering när arbetsytan skapas:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption

Förbereda en befintlig arbetsyta för kryptering:

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption

Observera fältet principalId i storageAccountIdentity avsnittet i kommandoutdata. Du anger det som det hanterade identitetsvärdet när du konfigurerar rolltilldelningen i ditt Key Vault.

Mer information om Azure CLI-kommandon för Azure Databricks-arbetsytor finns i kommandoreferensen az databricks workspace.

Skapa en Hanterad HSM för Azure Key Vault och en HSM-nyckel

Du kan använda en befintlig Hanterad HSM för Azure Key Vault eller skapa och aktivera en ny följande snabbstart: Etablera och aktivera en hanterad HSM med Azure CLI. Azure Key Vault Managed HSM måste ha Purge Protection aktiverat.

Om du vill skapa en HSM-nyckel följer du Skapa en HSM-nyckel.

Konfigurera den hanterade HSM-rolltilldelningen

Konfigurera en rolltilldelning för Key Vault Managed HSM så att din Azure Databricks-arbetsyta har behörighet att komma åt den. Ersätt platshållaren values inom hakparenteser med din egen values.

az keyvault role assignment create \
        --role "Managed HSM Crypto Service Encryption User" \
        --scope "/" \
        --hsm-name <hsm-name> \
        --assignee-object-id <managed-identity>

Ersätt <managed-identity> med det principalId värde som du antecknade när du förberedde din arbetsyta för kryptering.

Konfigurera DBFS-kryptering med kundhanterade nycklar

Konfigurera din Azure Databricks-arbetsyta så att den använder nyckeln som du skapade i Azure Key Vault.

Ersätt platshållaren values med din egen values.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>

Inaktivera kundhanterade nycklar

När du inaktiverar kundhanterade nycklar krypteras ditt lagringskonto återigen med Microsoft-hanterade nycklar.

Ersätt platshållaren values inom hakparenteser med dina egna values och använd variablerna som definierades i föregående steg.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default