Compartir a través de

Configuración de claves administradas por el cliente de HSM para DBFS mediante PowerShell

  • Artículo

Nota:

Esta característica solo está disponible en el plan Premium.

Puede usar PowerShell para configurar su propia clave de cifrado para cifrar la cuenta de almacenamiento del área de trabajo. En este artículo se describe cómo configurar su propia clave desde HSM administrado de Azure Key Vault. Para obtener instrucciones sobre cómo utilizar una clave de los almacenes de Azure Key Vault, consulte Configuración de claves administradas por el cliente para DBFS con PowerShell.

Importante

La instancia de Key Vault debe estar en el mismo inquilino de Azure que el área de trabajo de Azure Databricks.

Para más información sobre las claves administradas por el cliente para DBFS, consulte Claves administradas por el cliente para la raíz de DBFS.

Instalación del módulo PowerShell de Azure Databricks

  1. Instale Azure PowerShell.
  2. Instale el módulo PowerShell de Azure Databricks.

Preparación de un área de trabajo nueva o existente de Azure Databricks para el cifrado

Reemplace los valores del marcador de posición entre corchetes por los suyos propios. <workspace-name> es el nombre del recurso tal y como se muestra en Azure Portal.

Prepare el cifrado al crear un área de trabajo:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Prepare un área de trabajo existente para el cifrado:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Para más información sobre los cmdlets de PowerShell para las áreas de trabajo de Azure Databricks, consulte la referencia de Az.Databricks.

Crear un HSM administrado de Azure Key Vault y una clave HSM

Puede usar un HSM administrado de Azure Key Vault existente o crear y activar uno nuevo con el Inicio rápido: Aprovisionamiento y activación de un HSM administrado mediante PowerShell. El HSM administrado de Azure Key Vault debe tener habilitada la protección de purga.

Para crear una clave HSM, siga Crear una clave HSM.

Configure la asignación de roles de HSM administrado

Configure una asignación de roles para el HSM administrado de Key Vault para que el área de trabajo de Azure Databricks tenga permiso para acceder a él. Reemplace los valores del marcador de posición entre corchetes por los suyos propios.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentityPrincipalId

Configuración del cifrado DBFS con claves administradas por el cliente

Configure el área de trabajo de Azure Databricks para usar la clave que creó en Azure Key Vault. Reemplace los valores del marcador de posición entre corchetes por los suyos propios.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Deshabilitación de claves administradas por el cliente

Cuando las claves administradas por el cliente se deshabilitan, la cuenta de almacenamiento se vuelve a cifrar con claves administradas por Microsoft.

Reemplace los valores del marcador de posición entre corchetes por sus propios valores y use las variables definidas en los pasos anteriores.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default