Configuración de claves administradas por el cliente de HSM para DBFS mediante la CLI de Azure
Nota:
Esta característica solo está disponible en el plan Premium.
Puede usar la CLI de Azure para configurar su propia clave de cifrado para cifrar la cuenta de almacenamiento del área de trabajo. En este artículo se describe cómo configurar su propia clave desde HSM administrado de Azure Key Vault. Para obtener instrucciones sobre cómo utilizar una clave de los almacenes de Azure Key Vault, consulte Configuración de claves administradas por el cliente para DBFS con la CLI de Azure.
Importante
La instancia de Key Vault debe estar en el mismo inquilino de Azure que el área de trabajo de Azure Databricks.
Para más información sobre las claves administradas por el cliente para DBFS, consulte Claves administradas por el cliente para la raíz de DBFS.
Instalación de la extensión de la CLI de Azure Databricks
Instale la extensión de la CLI de Azure Databricks.
az extension add --name databricks
Preparación de un área de trabajo nueva o existente de Azure Databricks para el cifrado
Reemplace los valores del marcador de posición entre corchetes por los suyos propios. <workspace-name> es el nombre del recurso tal y como se muestra en Azure Portal.
az login
az account set --subscription <subscription-id>
Preparación del cifrado durante la creación del área de trabajo:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Preparación de un área de trabajo existente para el cifrado:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Anote el campo principalId de la sección storageAccountIdentity de la salida del comando. La proporcionará como valor de identidad administrada al configurar la asignación de roles del almacén de claves.
Para obtener más información sobre los comandos de CLI de Azure para las áreas de trabajo de Azure Databricks, consulte la referencia de comandos de área de trabajo az databricks.
Crear un HSM administrado de Azure Key Vault y una clave HSM
Puede usar un HSM administrado de Azure Key Vault existente o crear y activar uno nuevo con el Inicio rápido: Aprovisionamiento y activación de un HSM administrado mediante la CLI de Azure. El HSM administrado de Azure Key Vault debe tener habilitada la protección de purga.
Para crear una clave HSM, siga Crear una clave HSM.
Configure la asignación de roles de HSM administrado
Configure una asignación de roles para el HSM administrado de Key Vault para que el área de trabajo de Azure Databricks tenga permiso para acceder a él. Reemplace los valores del marcador de posición entre corchetes por los suyos propios.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
Reemplace <managed-identity> por el valor principalId que anotó al preparar el área de trabajo para el cifrado.
Configuración del cifrado DBFS con claves administradas por el cliente
Configure el área de trabajo de Azure Databricks para usar la clave que creó en Azure Key Vault.
Reemplace los valores de los marcadores de posición por sus propios valores.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Deshabilitación de claves administradas por el cliente
Cuando las claves administradas por el cliente se deshabilitan, la cuenta de almacenamiento se vuelve a cifrar con claves administradas por Microsoft.
Reemplace los valores del marcador de posición entre corchetes por sus propios valores y use las variables definidas en los pasos anteriores.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default