使用 PowerShell 为 DBFS 配置客户管理的密钥

注意

此功能仅在高级计划中提供。

可以使用 PowerShell 配置自己的加密密钥以加密工作区存储帐户。 本文介绍如何通过 Azure Key Vault 保管库配置你自己的密钥。 有关使用 Azure Key Vault 托管 HSM 中的密钥的说明,请参阅使用 PowerShell 为 DBFS 配置 HSM 客户管理的密钥

要详细了解用于 DBFS 的客户管理的密钥,请参阅为 DBFS 根配置客户管理的密钥

安装 Azure Databricks PowerShell 模块

  1. 安装 Azure PowerShell
  2. 安装 Azure Databricks PowerShell 模块

准备新的或现有的用于加密的 Azure Databricks 工作区

请将括号中的占位符值替换为你自己的值。 <workspace-name> 是 Azure 门户中显示的资源名称。

在创建工作区时准备加密:

$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

准备用于加密的现有工作区:

$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

有关 Azure Databricks 工作区的 PowerShell cmdlet 的详细信息,请参阅 Az.Databricks 参考

创建新的密钥保管库

使用 Azure Key Vault 为默认的(根)DBFS 存储客户管理的密钥时,Azure Key Vault 必须已启用两项密钥保护设置:“软删除”和“清除保护”。

重要

Key Vault 必须与你的 Azure Databricks 工作区位于同一 Azure 租户中。

Az.KeyVault 模块的版本 2.0.0 及更高版本中,当创建新 Key Vault 时,默认会启用软删除。

以下示例在启用了“软删除”和“清除保护”属性的情况下创建新 Key Vault。 请将括号中的占位符值替换为你自己的值。

$keyVault = New-AzKeyVault -Name <key-vault> `
     -ResourceGroupName <resource-group> `
     -Location <location> `
     -EnablePurgeProtection

若要了解如何使用 PowerShell 在现有密钥保管库上启用“软删除”和“清除保护”,请参阅如何在 PowerShell 中使用 Key Vault 软删除中的“启用软删除”和“启用清除保护”。

配置 Key Vault 访问策略

使用 Set-AzKeyVaultAccessPolicy 设置 Key Vault 的访问策略,以便 Azure Databricks 工作区有权访问它。

Set-AzKeyVaultAccessPolicy `
      -VaultName $keyVault.VaultName `
      -ObjectId $workspace.StorageAccountIdentity.PrincipalId `
      -PermissionsToKeys wrapkey,unwrapkey,get

新建密钥

使用 Add-AzKeyVaultKey cmdlet 在 Key Vault 中创建新密钥。 请将括号中的占位符值替换为你自己的值。

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

DBFS 根存储支持 2048、3072 和 4096 大小的 RSA 和 RSA-HSM 密钥。 有关密钥的详细信息,请参阅关于 Key Vault 密钥

使用客户管理的密钥配置 DBFS 加密

将 Azure Databricks 工作区配置为使用在 Azure Key Vault 中创建的密钥。 请将括号中的占位符值替换为你自己的值。

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
      -Name <workspace-name>
     -EncryptionKeySource Microsoft.Keyvault `
     -EncryptionKeyName $key.Name `
     -EncryptionKeyVersion $key.Version `
     -EncryptionKeyVaultUri $keyVault.VaultUri

禁用客户托管密钥

禁用客户托管密钥时,将再次使用 Microsoft 托管密钥对存储帐户进行加密。

请将括号中的占位符值替换为你自己的值,并使用在前面步骤中定义的变量。

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default