Compartir vía


Configuración de claves administradas por el cliente para DBFS mediante PowerShell

Nota:

Esta característica solo está disponible en el plan Premium.

Puede usar PowerShell para configurar su propia clave de cifrado para cifrar la cuenta de almacenamiento del área de trabajo. En este artículo se describe cómo configurar su propia clave desde los almacenes de Azure Key Vault. Para obtener instrucciones sobre el uso de una clave de Azure Key Vault HSM administrado, consulte Configuración de claves administradas por el cliente de HSM para DBFS mediante PowerShell.

Para más información sobre las claves administradas por el cliente para DBFS, consulte Claves administradas por el cliente para la raíz de DBFS.

Instalación del módulo PowerShell de Azure Databricks

  1. Instale Azure PowerShell.
  2. Instale el módulo PowerShell de Azure Databricks.

Preparación de un área de trabajo nueva o existente de Azure Databricks para el cifrado

Reemplace los valores del marcador de posición entre corchetes por los suyos propios. <workspace-name> es el nombre del recurso tal y como se muestra en Azure Portal.

Prepare el cifrado al crear un área de trabajo:

$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Prepare un área de trabajo existente para el cifrado:

$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Para más información sobre los cmdlets de PowerShell para las áreas de trabajo de Azure Databricks, consulte la referencia de Az.Databricks.

Creación de una instancia de Key Vault

La instancia de Azure Key Vault que se usará para almacenar las claves administradas por el cliente para el DBFS predeterminado (raíz) debe tener dos configuraciones de protección de claves habilitadas: la eliminación temporal y la protección de purga.

Importante

La instancia de Key Vault debe estar en el mismo inquilino de Azure que el área de trabajo de Azure Databricks.

En la versión 2.0.0 y posteriores del módulo Az.KeyVault, la eliminación temporal está habilitada de manera predeterminada cuando se crea una instancia de Key Vault.

En el ejemplo siguiente, se crea una instancia de Key Vault con las propiedades Eliminación temporal y Protección de purga habilitadas. Reemplace los valores del marcador de posición entre corchetes por los suyos propios.

$keyVault = New-AzKeyVault -Name <key-vault> `
     -ResourceGroupName <resource-group> `
     -Location <location> `
     -EnablePurgeProtection

Para información sobre cómo habilitar Eliminación temporal y Protección de purga en un almacén de claves existente con PowerShell, consulte "Habilitación de la eliminación temporal" y "Habilitación de la protección de purga" en Uso de la eliminación temporal de Key Vault con PowerShell.

Configuración de la directiva de acceso de Key Vault

Establezca la directiva de acceso para Key Vault de manera que el área de trabajo de Azure Databricks tenga permiso para acceder a él. Para ello, utilice Set-AzKeyVaultAccessPolicy.

Set-AzKeyVaultAccessPolicy `
      -VaultName $keyVault.VaultName `
      -ObjectId $workspace.StorageAccountIdentity.PrincipalId `
      -PermissionsToKeys wrapkey,unwrapkey,get

Creación de una nueva clave

Cree una clave en Key Vault con el cmdlet Add-AzKeyVaultKey. Reemplace los valores del marcador de posición entre corchetes por los suyos propios.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

El almacenamiento raíz de DBFS admite claves RSA y RSA-HSM de los tamaños 2048, 3072 y 4096. Para más información sobre las claves, consulte Información sobre las claves de Key Vault.

Configuración del cifrado DBFS con claves administradas por el cliente

Configure el área de trabajo de Azure Databricks para usar la clave que creó en Azure Key Vault. Reemplace los valores del marcador de posición entre corchetes por los suyos propios.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
      -Name <workspace-name>
     -EncryptionKeySource Microsoft.Keyvault `
     -EncryptionKeyName $key.Name `
     -EncryptionKeyVersion $key.Version `
     -EncryptionKeyVaultUri $keyVault.VaultUri

Deshabilitación de claves administradas por el cliente

Cuando las claves administradas por el cliente se deshabilitan, la cuenta de almacenamiento se vuelve a cifrar con claves administradas por Microsoft.

Reemplace los valores del marcador de posición entre corchetes por sus propios valores y use las variables definidas en los pasos anteriores.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default