使用 PowerShell 为 DBFS 配置客户管理的密钥
注意
此功能仅在高级计划中提供。
可以使用 PowerShell 配置自己的加密密钥以加密工作区存储帐户。 本文介绍如何通过 Azure Key Vault 保管库配置你自己的密钥。 有关使用 Azure Key Vault 托管 HSM 中的密钥的说明,请参阅使用 PowerShell 为 DBFS 配置 HSM 客户管理的密钥。
要详细了解用于 DBFS 的客户管理的密钥,请参阅为 DBFS 根配置客户管理的密钥。
安装 Azure Databricks PowerShell 模块
准备新的或现有的用于加密的 Azure Databricks 工作区
请将括号中的占位符值替换为你自己的值。 <workspace-name>
是 Azure 门户中显示的资源名称。
在创建工作区时准备加密:
$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
准备用于加密的现有工作区:
$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
有关 Azure Databricks 工作区的 PowerShell cmdlet 的详细信息,请参阅 Az.Databricks 参考。
创建新的密钥保管库
使用 Azure Key Vault 为默认的(根)DBFS 存储客户管理的密钥时,Azure Key Vault 必须已启用两项密钥保护设置:“软删除”和“清除保护”。
重要
Key Vault 必须与你的 Azure Databricks 工作区位于同一 Azure 租户中。
在 Az.KeyVault
模块的版本 2.0.0 及更高版本中,当创建新 Key Vault 时,默认会启用软删除。
以下示例在启用了“软删除”和“清除保护”属性的情况下创建新 Key Vault。 请将括号中的占位符值替换为你自己的值。
$keyVault = New-AzKeyVault -Name <key-vault> `
-ResourceGroupName <resource-group> `
-Location <location> `
-EnablePurgeProtection
若要了解如何使用 PowerShell 在现有密钥保管库上启用“软删除”和“清除保护”,请参阅如何在 PowerShell 中使用 Key Vault 软删除中的“启用软删除”和“启用清除保护”。
配置 Key Vault 访问策略
使用 Set-AzKeyVaultAccessPolicy 设置 Key Vault 的访问策略,以便 Azure Databricks 工作区有权访问它。
Set-AzKeyVaultAccessPolicy `
-VaultName $keyVault.VaultName `
-ObjectId $workspace.StorageAccountIdentity.PrincipalId `
-PermissionsToKeys wrapkey,unwrapkey,get
新建密钥
使用 Add-AzKeyVaultKey cmdlet 在 Key Vault 中创建新密钥。 请将括号中的占位符值替换为你自己的值。
$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'
DBFS 根存储支持 2048、3072 和 4096 大小的 RSA 和 RSA-HSM 密钥。 有关密钥的详细信息,请参阅关于 Key Vault 密钥。
使用客户管理的密钥配置 DBFS 加密
将 Azure Databricks 工作区配置为使用在 Azure Key Vault 中创建的密钥。 请将括号中的占位符值替换为你自己的值。
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName $key.Name `
-EncryptionKeyVersion $key.Version `
-EncryptionKeyVaultUri $keyVault.VaultUri
禁用客户托管密钥
禁用客户托管密钥时,将再次使用 Microsoft 托管密钥对存储帐户进行加密。
请将括号中的占位符值替换为你自己的值,并使用在前面步骤中定义的变量。
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default