Dela via

Konfigurera kundhanterade HSM-nycklar för DBFS med hjälp av PowerShell

  • Artikel

Kommentar

Den här funktionen är endast tillgänglig i Premium-planen.

Du kan använda PowerShell för att konfigurera din egen krypteringsnyckel för att kryptera lagringskontot för arbetsytan. Den här artikeln beskriver hur du konfigurerar din egen nyckel från Azure Key Vault Managed HSM. Anvisningar om hur du använder en nyckel från Azure Key Vault-valv finns i Konfigurera kundhanterade nycklar för DBFS med PowerShell.

Viktigt!

Key Vault måste finnas i samma Azure-klientorganisation som din Azure Databricks-arbetsyta.

Mer information om kundhanterade nycklar för DBFS finns i Kundhanterade nycklar för DBFS-rot.

Installera Azure Databricks PowerShell-modulen

  1. Installera Azure PowerShell.
  2. Installera Azure Databricks PowerShell-modulen.

Förbereda en ny eller befintlig Azure Databricks-arbetsyta för kryptering

Ersätt platshållarvärdena inom hakparenteser med dina egna värden. <workspace-name> är resursnamnet som visas i Azure Portal.

Förbered kryptering när du skapar en arbetsyta:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Förbereda en befintlig arbetsyta för kryptering:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Mer information om PowerShell-cmdletar för Azure Databricks-arbetsytor finns i Az.Databricks-referensen.

Skapa en Hanterad HSM för Azure Key Vault och en HSM-nyckel

Du kan använda en befintlig Hanterad HSM för Azure Key Vault eller skapa och aktivera en ny följande snabbstart: Etablera och aktivera en hanterad HSM med Hjälp av PowerShell. Azure Key Vault Managed HSM måste ha Purge Protection aktiverat.

Om du vill skapa en HSM-nyckel följer du Skapa en HSM-nyckel.

Konfigurera den hanterade HSM-rolltilldelningen

Konfigurera en rolltilldelning för Key Vault Managed HSM så att din Azure Databricks-arbetsyta har behörighet att komma åt den. Ersätt platshållarvärdena inom hakparenteser med dina egna värden.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentity.PrincipalId

Konfigurera DBFS-kryptering med kundhanterade nycklar

Konfigurera din Azure Databricks-arbetsyta så att den använder nyckeln som du skapade i Azure Key Vault. Ersätt platshållarvärdena inom hakparenteser med dina egna värden.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Inaktivera kundhanterade nycklar

När du inaktiverar kundhanterade nycklar krypteras ditt lagringskonto återigen med Microsoft-hanterade nycklar.

Ersätt platshållarvärdena inom hakparenteser med dina egna värden och använd variablerna som definierades i föregående steg.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default