Bagikan melalui

Mengonfigurasi kunci yang dikelola pelanggan HSM untuk DBFS menggunakan PowerShell

  • Artikel

Catatan

Fitur ini hanya tersedia dalam paket Premium.

Anda dapat menggunakan PowerShell untuk mengonfigurasi kunci enkripsi Anda sendiri untuk mengenkripsi akun penyimpanan ruang kerja. Artikel ini menjelaskan cara mengonfigurasi kunci Anda sendiri dari Azure Key Vault Managed HSM. Untuk instruksi tentang menggunakan kunci dari vault Azure Key Vault, lihat Mengonfigurasi kunci yang dikelola pelanggan untuk DBFS menggunakan PowerShell.

Penting

Key Vault harus berada di penyewa Azure yang sama dengan ruang kerja Azure Databricks Anda.

Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan untuk DBFS, lihat Kunci yang dikelola pelanggan untuk akar DBFS.

Pasang modul Azure Databricks PowerShell

  1. Pasang Azure PowerShell.
  2. Pasang modul Azure Databricks PowerShell.

Menyiapkan ruang kerja Azure Databricks baru atau yang sudah ada untuk enkripsi

Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri. <workspace-name> adalah nama sumber daya yang ditampilkan di portal Microsoft Azure.

Siapkan enkripsi saat Anda membuat ruang kerja:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Siapkan ruang kerja yang ada untuk enkripsi:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Untuk informasi selengkapnya tentang cmdlet PowerShell untuk ruang kerja Azure Databricks, lihat Referensi modul Az.Databricks.

Membuat HSM Terkelola Azure Key Vault dan kunci HSM

Anda dapat menggunakan Azure Key Vault Managed HSM yang sudah ada atau membuat dan mengaktifkan yang baru berikut Mulai Cepat: Memprovisikan dan mengaktifkan HSM Terkelola menggunakan PowerShell. Azure Key Vault Managed HSM harus mengaktifkan Perlindungan Penghapusan Menyeluruh .

Untuk membuat kunci HSM, ikuti Membuat kunci HSM.

Mengonfigurasi penetapan peran HSM Terkelola

Konfigurasikan penetapan peran untuk Key Vault Managed HSM sehingga ruang kerja Azure Databricks Anda memiliki izin untuk mengaksesnya. Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentityPrincipalId

Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan

Konfigurasikan ruang kerja Azure Databricks Anda untuk menggunakan kunci yang Anda buat di Azure Key Vault Anda. Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Menonaktifkan kunci yang dikelola pelanggan

Saat Anda menonaktifkan kunci yang dikelola pelanggan, akun penyimpanan Anda sekali lagi dienkripsi dengan kunci yang dikelola Microsoft.

Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default