使用 PowerShell 為 DBFS 設定 HSM 客戶管理的密鑰
注意
此功能僅適用於 進階方案。
您可以使用 PowerShell 來設定自己的加密金鑰來加密工作區記憶體帳戶。 本文說明如何從 Azure 金鑰保存庫 受控 HSM 設定您自己的密鑰。 如需從 Azure 金鑰保存庫 儲存庫使用金鑰的指示,請參閱使用 PowerShell 設定 DBFS 的客戶自控密鑰。
重要
Key Vault 與 Azure Databricks 工作區必須位於相同的 Azure 租用戶中。
如需 DBFS 客戶自控密鑰的詳細資訊,請參閱 DBFS 根目錄的客戶自控密鑰。
安裝 Azure Databricks PowerShell 模組
準備新的或現有的 Azure Databricks 工作區以進行加密
將括弧中的預留位置值取代為您自己的值。 <workspace-name>是資源名稱,如 Azure 入口網站 所示。
建立工作區時準備加密:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
準備現有的工作區以進行加密:
$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
如需 Azure Databricks 工作區的 PowerShell Cmdlet 詳細資訊,請參閱 Az.Databricks 參考。
建立 Azure 金鑰保存庫 受控 HSM 和 HSM 金鑰
您可以使用現有的 Azure 金鑰保存庫 受控 HSM,或建立並啟用下列快速入門:使用 PowerShell 布建和啟用受控 HSM。 Azure Key Vault 受控 HSM 必須啟用 [清除保護]。
若要建立 HSM 金鑰,請遵循建立 HSM 金鑰。
設定受控 HSM 角色指派
設定金鑰保存庫受控 HSM 的角色指派,讓您的 Azure Databricks 工作區擁有存取它的權限。 將括弧中的預留位置值取代為您自己的值。
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
-ObjectId $workspace.StorageAccountIdentityPrincipalId
使用客戶管理的金鑰設定 DBFS 加密
設定您的 Azure Databricks 工作區,以使用您在 Azure 金鑰保存庫 中建立的密鑰。 將括弧中的預留位置值取代為您自己的值。
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName <key-name> `
-EncryptionKeyVersion <key-version> `
-EncryptionKeyVaultUri <hsm-uri>
停用客戶自控金鑰
當您停用客戶管理的密鑰時,記憶體帳戶會再次使用Microsoft管理的密鑰加密。
以您自己的值取代括弧中的佔位元值,並使用先前步驟中定義的變數。
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default