Partager via

Configurer les clés gérées par le client HSM pour DBFS à l'aide d'Azure CLI

  • Article

Remarque

Cette fonctionnalité est disponible uniquement dans le plan Premium.

Vous pouvez utiliser Azure CLI pour configurer votre propre clé de chiffrement afin de chiffrer le compte de stockage de l’espace de travail. Cet article explique comment configurer votre propre clé à partir des HSM managés Azure Key Vault. Pour obtenir des instructions sur l’utilisation d’une clé des coffres Azure Key Vault, consultez Configurer les clés managées par le client pour les DBFS avec Azure CLI.

Important

Key Vault doit être dans le même locataire Azure que votre espace de travail Azure Databricks.

Pour plus d’informations sur les clés gérées par le client pour DBFS, consultez Clés gérées par le client pour la racine DBFS.

Installer l’extension CLI Azure Databricks

  1. Installer l’interface de ligne de commande Microsoft Azure.

  2. Installez l’extension CLI Azure Databricks.

    az extension add --name databricks

Préparer un espace de travail Azure Databricks nouveau ou existant pour le chiffrement

Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs. La valeur <workspace-name> est le nom de ressource tel qu’affiché dans le portail Azure.

az login
az account set --subscription <subscription-id>

Préparez le chiffrement lors de la création de l’espace de travail :

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption

Préparez un espace de travail existant pour le chiffrement :

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption

Notez le champ principalId dans la section storageAccountIdentity de la sortie de la commande. Vous devez le fournir comme valeur d’identité managée lorsque vous configurez l’attribution de rôle de votre Key Vault.

Pour plus d’informations sur les commandes Azure CLI pour les espaces de travail Azure Databricks, consultez les informations de référence sur la commande az databricks workspace.

Créer un HSM géré par Azure Key Vault et une clé HSM

Vous pouvez utiliser un HSM managé Azure Key Vault existant ou créer et activer un nouveau à l’aide du Guide de démarrage rapide : provisionner et activer un HSM managé à l’aide d’Azure CLI. Le HSM managé Azure Key Vault doit avoir la protection contre la purge activée.

Pour créer une clé HSM, suivez Créer une clé HSM.

Configurez l'attribution du rôle HSM géré

Configurez une attribution de rôle pour le HSM managé Key Vault afin que votre espace de travail Azure Databricks soit autorisé à y accéder. Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs.

az keyvault role assignment create \
        --role "Managed HSM Crypto Service Encryption User" \
        --scope "/" \
        --hsm-name <hsm-name> \
        --assignee-object-id <managed-identity>

Remplacez <managed-identity> par la valeur principalId que vous avez notée lorsque vous avez préparé votre espace de travail pour le chiffrement.

Configurer le chiffrement DBFS avec des clés gérées par le client

Configurez votre espace de travail Azure Databricks pour utiliser la clé que vous avez créée dans votre coffre de clés Azure.

Remplacez les valeurs d’espace réservé par vos propres valeurs.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>

Désactiver les clés gérées par le client

Quand vous désactivez les clés gérées par le client, votre compte de stockage est de nouveau chiffré avec des clés gérées par Microsoft.

Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs et utilisez les variables définies dans les étapes précédentes.

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default