Mengonfigurasi kunci yang dikelola pelanggan untuk DBFS menggunakan Azure CLI
Catatan
Fitur ini hanya tersedia dalam paket Premium.
Anda dapat menggunakan Azure CLI untuk mengonfigurasi kunci enkripsi Anda sendiri untuk mengenkripsi akun penyimpanan ruang kerja. Artikel ini menjelaskan cara mengonfigurasi kunci Anda sendiri dari vault Azure Key Vault. Untuk instruksi tentang menggunakan kunci dari Azure Key Vault Managed HSM, lihat Mengonfigurasi kunci yang dikelola pelanggan HSM untuk DBFS menggunakan Azure CLI.
Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan untuk DBFS, lihat Kunci yang dikelola pelanggan untuk akar DBFS.
Menginstal ekstensi Azure Databricks CLI
Instal ekstensi Azure Databricks CLI.
az extension add --name databricks
Menyiapkan ruang kerja Azure Databricks baru atau yang sudah ada untuk enkripsi
Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri. <workspace-name>
adalah nama sumber daya yang ditampilkan di portal Microsoft Azure.
az login
az account set --subscription <subscription-id>
Siapkan enkripsi selama pembuatan ruang kerja:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Siapkan ruang kerja yang ada untuk enkripsi:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Perhatikan bidang principalId
di bagian storageAccountIdentity
dari keluaran perintah. Anda akan memberikannya sebagai nilai identitas terkelola saat mengonfigurasi Key Vault Anda.
Untuk informasi selengkapnya tentang perintah Azure CLI untuk ruang kerja Azure Databricks, lihat referensi perintah ruang kerja az databricks.
Membuat Key Vault baru
Key Vault yang Anda gunakan untuk menyimpan kunci yang dikelola pelanggan untuk akar DBFS harus mengaktifkan dua pengaturan perlindungan kunci, Penghapusan Sementara dan Perlindungan Penghapusan Menyeluruh. Untuk membuat Key Vault baru dengan pengaturan ini diaktifkan, jalankan perintah berikut.
Penting
Key Vault harus berada di penyewa Azure yang sama dengan ruang kerja Azure Databricks Anda.
Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.
az keyvault create \
--name <key-vault> \
--resource-group <resource-group> \
--location <region> \
--enable-soft-delete \
--enable-purge-protection
Untuk informasi selengkapnya tentang mengaktifkan Soft Delete dan Purge Protection menggunakan Azure CLI, lihat Cara menggunakan penghapusan sementara Key Vault dengan CLI.
Mengonfigurasi kebijakan akses Key Vault
Atur kebijakan akses untuk Key Vault sehingga ruang kerja Azure Databricks memiliki izin untuk mengaksesnya, menggunakan perintah az keyvault set-policy .
Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.
az keyvault set-policy \
--name <key-vault> \
--resource-group <resource-group> \
--object-id <managed-identity> \
--key-permissions get unwrapKey wrapKey
Ganti <managed-identity>
dengan nilai principalId
yang Anda catat ketika mempersiapkan ruang kerja untuk enkripsi.
Membuat kunci baru
Buat kunci di Key Vault menggunakan perintah az keyvault key create .
Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.
az keyvault key create \
--name <key> \
--vault-name <key-vault>
Penyimpanan akar DBFS mendukung kunci RSA dan RSA-HSM ukuran 2048, 3072 dan 4096. Untuk informasi selengkapnya tentang kunci, lihat Tentang kunci Key Vault.
Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan
Konfigurasikan ruang kerja Azure Databricks Anda untuk menggunakan kunci yang Anda buat di Azure Key Vault Anda.
Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.
key_vault_uri=$(az keyvault show \
--name <key-vault> \
--resource-group <resource-group> \
--query properties.vaultUri \
--output tsv)
key_version=$(az keyvault key list-versions \
--name <key> \ --vault-name <key-vault> \
--query [-1].kid \
--output tsv | cut -d '/' -f 6)
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault $key_vault_uri --key-version $key_version
Menonaktifkan kunci yang dikelola pelanggan
Saat Anda menonaktifkan kunci yang dikelola pelanggan, akun penyimpanan Anda sekali lagi dienkripsi dengan kunci yang dikelola Microsoft.
Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default