使用 Azure CLI 為 DBFS 設定 HSM 客戶管理的密鑰
注意
此功能僅適用於 進階方案。
您可以使用 Azure CLI 來設定自己的加密金鑰來加密工作區記憶體帳戶。 本文說明如何從 Azure 金鑰保存庫 受控 HSM 設定您自己的密鑰。 如需從 Azure 金鑰保存庫 保存庫使用金鑰的指示,請參閱使用 Azure CLI 設定 DBFS 的客戶自控密鑰。
重要
Key Vault 與 Azure Databricks 工作區必須位於相同的 Azure 租用戶中。
如需 DBFS 客戶自控密鑰的詳細資訊,請參閱 DBFS 根目錄的客戶自控密鑰。
安裝 Azure Databricks CLI 擴充功能
安裝 Azure Databricks CLI 擴充功能。
az extension add --name databricks
準備新的或現有的 Azure Databricks 工作區以進行加密
將括弧中的預留位置值取代為您自己的值。 <workspace-name>
是資源名稱,如 Azure 入口網站 所示。
az login
az account set --subscription <subscription-id>
準備在工作區建立期間進行加密:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
準備現有的工作區以進行加密:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
記下 principalId
命令輸出區段中的欄位 storageAccountIdentity
。 當您在 金鑰保存庫 上設定角色指派時,會提供它作為受控識別值。
如需 Azure Databricks 工作區之 Azure CLI 命令的詳細資訊,請參閱 az databricks workspace 命令參考。
建立 Azure 金鑰保存庫 受控 HSM 和 HSM 金鑰
您可以使用現有的 Azure 金鑰保存庫 受控 HSM,或建立並啟用下列快速入門:使用 Azure CLI 布建和啟用受控 HSM。 Azure Key Vault 受控 HSM 必須啟用 [清除保護]。
若要建立 HSM 金鑰,請遵循建立 HSM 金鑰。
設定受控 HSM 角色指派
設定金鑰保存庫受控 HSM 的角色指派,讓您的 Azure Databricks 工作區擁有存取它的權限。 將括弧中的預留位置值取代為您自己的值。
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
將取代<managed-identity>
為您principalId
備妥工作區以進行加密時所注意到的值。
使用客戶管理的金鑰設定 DBFS 加密
設定您的 Azure Databricks 工作區,以使用您在 Azure 金鑰保存庫 中建立的密鑰。
以您自己的值取代預留位置值。
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
停用客戶自控金鑰
當您停用客戶管理的密鑰時,記憶體帳戶會再次使用Microsoft管理的密鑰加密。
以您自己的值取代括弧中的佔位元值,並使用先前步驟中定義的變數。
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default