Configurare chiavi gestite dal cliente del modulo di protezione hardware per DBFS usando l'interfaccia della riga di comando di Azure
Nota
Questa funzionalità è disponibile solo nel piano Premium.
È possibile usare l'interfaccia della riga di comando di Azure per configurare la propria chiave di crittografia per crittografare l'account di archiviazione dell'area di lavoro. Questo articolo descrive come configurare la propria chiave dal modulo di protezione hardware gestito di Azure Key Vault. Per istruzioni sull'uso di una chiave da insiemi di credenziali di Azure Key Vault, vedere Configurare chiavi gestite dal cliente per DBFS usando l'interfaccia della riga di comando di Azure.
Importante
L'insieme di credenziali delle chiavi deve trovarsi nello stesso tenant di Azure dell'area di lavoro di Azure Databricks.
Per altre informazioni sulle chiavi gestite dal cliente per DBFS, vedere Chiavi gestite dal cliente per la radice DBFS.
Installare l'estensione dell'interfaccia della riga di comando di Azure Databricks
Installare l'estensione dell'interfaccia della riga di comando di Azure Databricks.
az extension add --name databricks
Preparare un'area di lavoro di Azure Databricks nuova o esistente per la crittografia
Sostituire i valori segnaposto tra parentesi quadre con i propri valori. <workspace-name>
è il nome della risorsa visualizzato nella portale di Azure.
az login
az account set --subscription <subscription-id>
Preparare la crittografia durante la creazione dell'area di lavoro:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Preparare un'area di lavoro esistente per la crittografia:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Si noti il principalId
campo nella storageAccountIdentity
sezione dell'output del comando. Verrà fornito come valore dell'identità gestita quando si configura l'assegnazione di ruolo nell'insieme di credenziali delle chiavi.
Per altre informazioni sui comandi dell'interfaccia della riga di comando di Azure per le aree di lavoro di Azure Databricks, vedere le informazioni di riferimento sui comandi az databricks workspace.
Creare un modulo di protezione hardware gestito di Azure Key Vault e una chiave HSM
È possibile usare un modulo di protezione hardware gestito di Azure Key Vault esistente o crearne uno nuovo e attivarne uno nuovo : Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando l'interfaccia della riga di comando di Azure. Il modulo di protezione hardware gestito di Azure Key Vault deve avere la protezione ripulitura abilitata.
Per creare una chiave HSM, seguire Creare una chiave HSM.
Configurare l'assegnazione di ruolo modulo di protezione hardware gestito
Configurare un'assegnazione di ruolo per il modulo di protezione hardware gestito di Key Vault in modo che l'area di lavoro di Azure Databricks disponga dell'autorizzazione per accedervi. Sostituire i valori segnaposto tra parentesi quadre con i propri valori.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
Sostituire <managed-identity>
con il valore annotato quando è stata preparata l'area principalId
di lavoro per la crittografia.
Configurare la crittografia DBFS con chiavi gestite dal cliente
Configurare l'area di lavoro di Azure Databricks per usare la chiave creata nell'insieme di credenziali delle chiavi di Azure.
Sostituire i valori segnaposto con i propri valori.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Disabilitare le chiavi gestite dal cliente
Quando si disabilitano le chiavi gestite dal cliente, l'account di archiviazione viene nuovamente crittografato con chiavi gestite da Microsoft.
Sostituire i valori segnaposto tra parentesi quadre con i propri valori e usare le variabili definite nei passaggi precedenti.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default