Configurer les clés gérées par le client HSM pour DBFS à l'aide de PowerShell
Remarque
Cette fonctionnalité est disponible uniquement dans le plan Premium.
Vous pouvez utiliser PowerShell pour configurer votre propre clé de chiffrement afin de chiffrer le compte de stockage de l’espace de travail. Cet article explique comment configurer votre propre clé à partir des HSM managés Azure Key Vault. Pour obtenir des instructions sur l’utilisation d’une clé des coffres Azure Key Vault, consultez Configurer les clés managées par le client pour les DBFS à l’aide de PowerShell.
Important
Key Vault doit être dans le même locataire Azure que votre espace de travail Azure Databricks.
Pour plus d’informations sur les clés gérées par le client pour DBFS, consultez Clés gérées par le client pour la racine DBFS.
Installer le module PowerShell Azure Databricks
Préparer un espace de travail Azure Databricks nouveau ou existant pour le chiffrement
Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs. La valeur <workspace-name> est le nom de ressource tel qu’affiché dans le portail Azure.
Préparez le chiffrement lors de la création d’un espace de travail :
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
Préparez un espace de travail existant pour le chiffrement :
$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Pour plus d’informations sur les applets de commande PowerShell pour les espaces de travail Azure Databricks, consultez les informations de référence sur Az.Databricks.
Créer un HSM managé Azure Key Vault et une clé HSM
Vous pouvez utiliser un HSM managé Azure Key Vault existant ou en créer et activer un nouveau à l’aide du Guide de démarrage rapide : provisionner et activer un HSM managé à l’aide de PowerShell. Le HSM managé Azure Key Vault doit avoir la protection contre la purge activée.
Pour créer une clé HSM, suivez Créer une clé HSM.
Configurez l'attribution du rôle HSM géré
Configurez une attribution de rôle pour le HSM managé Key Vault afin que votre espace de travail Azure Databricks soit autorisé à y accéder. Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs.
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
-ObjectId $workspace.StorageAccountIdentityPrincipalId
Configurer le chiffrement DBFS avec des clés gérées par le client
Configurez votre espace de travail Azure Databricks pour utiliser la clé que vous avez créée dans votre coffre de clés Azure. Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName <key-name> `
-EncryptionKeyVersion <key-version> `
-EncryptionKeyVaultUri <hsm-uri>
Désactiver les clés gérées par le client
Quand vous désactivez les clés gérées par le client, votre compte de stockage est de nouveau chiffré avec des clés gérées par Microsoft.
Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs et utilisez les variables définies dans les étapes précédentes.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour