Configuración de claves administradas por el cliente para DBFS mediante la CLI de Azure
Nota:
Esta característica solo está disponible en el plan Premium.
Puede usar la CLI de Azure para configurar su propia clave de cifrado para cifrar la cuenta de almacenamiento del área de trabajo. En este artículo se describe cómo configurar su propia clave desde los almacenes de Azure Key Vault. Para obtener instrucciones sobre el uso de una clave de HSM administrada por Azure Key Vault, consulte Configurar claves administradas por el cliente de HSM para DBFS mediante la CLI de Azure.
Para más información sobre las claves administradas por el cliente para DBFS, consulte Claves administradas por el cliente para la raíz de DBFS.
Instalación de la extensión de la CLI de Azure Databricks
Instale la extensión de la CLI de Azure Databricks.
az extension add --name databricks
Preparación de un área de trabajo nueva o existente de Azure Databricks para el cifrado
Reemplace los valores del marcador de posición entre corchetes por los suyos propios. <workspace-name> es el nombre del recurso tal y como se muestra en Azure Portal.
az login
az account set --subscription <subscription-id>
Preparación del cifrado durante la creación del área de trabajo:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Preparación de un área de trabajo existente para el cifrado:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Anote el campo principalId de la sección storageAccountIdentity de la salida del comando. La proporcionará como valor de identidad administrada al configurar el almacén de claves.
Para obtener más información sobre los comandos de CLI de Azure para las áreas de trabajo de Azure Databricks, consulte la referencia de comandos de área de trabajo az databricks.
Creación de una instancia de Key Vault
El almacén de claves que se usará para almacenar las claves administradas por el cliente para la raíz de DBFS debe tener dos configuraciones de protección de claves habilitadas: la eliminación temporal y la protección de purga. Para crear un nuevo almacén de claves con esta configuración habilitada, ejecute los siguientes comandos.
Importante
La instancia de Key Vault debe estar en el mismo inquilino de Azure que el área de trabajo de Azure Databricks.
Reemplace los valores del marcador de posición entre corchetes por los suyos propios.
az keyvault create \
--name <key-vault> \
--resource-group <resource-group> \
--location <region> \
--enable-soft-delete \
--enable-purge-protection
Para obtener más información sobre cómo habilitar la eliminación temporal y la protección de purga mediante la CLI de Azure, consulte Uso de la eliminación temporal de Key Vault con la CLI.
Configuración de la directiva de acceso de Key Vault
Establezca la directiva de acceso para el almacén de claves para que el área de trabajo de Azure Databricks tenga permiso para acceder a ella. Para ello, use el comando az keyvault set-policy.
Reemplace los valores del marcador de posición entre corchetes por los suyos propios.
az keyvault set-policy \
--name <key-vault> \
--resource-group <resource-group> \
--object-id <managed-identity> \
--key-permissions get unwrapKey wrapKey
Reemplace <managed-identity> por el valor principalId que anotó al preparar el área de trabajo para el cifrado.
Creación de una nueva clave
Cree una clave en el almacén de claves mediante el comando az keyvault key create.
Reemplace los valores del marcador de posición entre corchetes por los suyos propios.
az keyvault key create \
--name <key> \
--vault-name <key-vault>
El almacenamiento raíz de DBFS admite claves RSA y RSA-HSM de los tamaños 2048, 3072 y 4096. Para más información sobre las claves, consulte Información sobre las claves de Key Vault.
Configuración del cifrado DBFS con claves administradas por el cliente
Configure el área de trabajo de Azure Databricks para usar la clave que creó en Azure Key Vault.
Reemplace los valores del marcador de posición entre corchetes por los suyos propios.
key_vault_uri=$(az keyvault show \
--name <key-vault> \
--resource-group <resource-group> \
--query properties.vaultUri \
--output tsv)
key_version=$(az keyvault key list-versions \
--name <key> \ --vault-name <key-vault> \
--query [-1].kid \
--output tsv | cut -d '/' -f 6)
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault $key_vault_uri --key-version $key_version
Deshabilitación de claves administradas por el cliente
Cuando las claves administradas por el cliente se deshabilitan, la cuenta de almacenamiento se vuelve a cifrar con claves administradas por Microsoft.
Reemplace los valores del marcador de posición entre corchetes por sus propios valores y use las variables definidas en los pasos anteriores.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default