Mengonfigurasi kunci yang dikelola pelanggan HSM untuk DBFS menggunakan PowerShell
Catatan
Fitur ini hanya tersedia dalam paket Premium.
Anda dapat menggunakan PowerShell untuk mengonfigurasi kunci enkripsi Anda sendiri untuk mengenkripsi akun penyimpanan ruang kerja. Artikel ini menjelaskan cara mengonfigurasi kunci Anda sendiri dari Azure Key Vault Managed HSM. Untuk instruksi tentang menggunakan kunci dari vault Azure Key Vault, lihat Mengonfigurasi kunci yang dikelola pelanggan untuk DBFS menggunakan PowerShell.
Penting
Key Vault harus berada di penyewa Azure yang sama dengan ruang kerja Azure Databricks Anda.
Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan untuk DBFS, lihat Kunci yang dikelola pelanggan untuk akar DBFS.
Pasang modul Azure Databricks PowerShell
Menyiapkan ruang kerja Azure Databricks baru atau yang sudah ada untuk enkripsi
Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri. <workspace-name>
adalah nama sumber daya yang ditampilkan di portal Microsoft Azure.
Siapkan enkripsi saat Anda membuat ruang kerja:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
Siapkan ruang kerja yang ada untuk enkripsi:
$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Untuk informasi selengkapnya tentang cmdlet PowerShell untuk ruang kerja Azure Databricks, lihat Referensi modul Az.Databricks.
Membuat HSM Terkelola Azure Key Vault dan kunci HSM
Anda dapat menggunakan Azure Key Vault Managed HSM yang sudah ada atau membuat dan mengaktifkan yang baru berikut Mulai Cepat: Memprovisikan dan mengaktifkan HSM Terkelola menggunakan PowerShell. Azure Key Vault Managed HSM harus mengaktifkan Perlindungan Penghapusan Menyeluruh .
Untuk membuat kunci HSM, ikuti Membuat kunci HSM.
Mengonfigurasi penetapan peran HSM Terkelola
Konfigurasikan penetapan peran untuk Key Vault Managed HSM sehingga ruang kerja Azure Databricks Anda memiliki izin untuk mengaksesnya. Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
-ObjectId $workspace.StorageAccountIdentityPrincipalId
Mengonfigurasi enkripsi dengan kunci yang dikelola pelanggan
Konfigurasikan ruang kerja Azure Databricks Anda untuk menggunakan kunci yang Anda buat di Azure Key Vault Anda. Ganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName <key-name> `
-EncryptionKeyVersion <key-version> `
-EncryptionKeyVaultUri <hsm-uri>
Menonaktifkan kunci yang dikelola pelanggan
Saat Anda menonaktifkan kunci yang dikelola pelanggan, akun penyimpanan Anda sekali lagi dienkripsi dengan kunci yang dikelola Microsoft.
Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri dan menggunakan variabel yang ditentukan dalam contoh sebelumnya.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default