Configurare chiavi gestite dal cliente del modulo di protezione hardware per DBFS tramite PowerShell
Nota
Questa funzionalità è disponibile solo nel piano Premium.
È possibile usare PowerShell per configurare la propria chiave di crittografia per crittografare l'account di archiviazione dell'area di lavoro. Questo articolo descrive come configurare la propria chiave dal modulo di protezione hardware gestito di Azure Key Vault. Per istruzioni sull'uso di una chiave da insiemi di credenziali di Azure Key Vault, vedere Configurare chiavi gestite dal cliente per DBFS tramite PowerShell.
Importante
L'insieme di credenziali delle chiavi deve trovarsi nello stesso tenant di Azure dell'area di lavoro di Azure Databricks.
Per altre informazioni sulle chiavi gestite dal cliente per DBFS, vedere Chiavi gestite dal cliente per la radice DBFS.
Installare il modulo PowerShell di Azure Databricks
- Installare Azure PowerShell.
- Installare il modulo PowerShell di Azure Databricks.
Preparare un'area di lavoro di Azure Databricks nuova o esistente per la crittografia
Sostituire i valori segnaposto tra parentesi quadre con i propri valori. <workspace-name> è il nome della risorsa visualizzato nella portale di Azure.
Preparare la crittografia quando si crea un'area di lavoro:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
Preparare un'area di lavoro esistente per la crittografia:
$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Per altre informazioni sui cmdlet di PowerShell per le aree di lavoro di Azure Databricks, vedere le informazioni di riferimento su Az.Databricks.
Creare un modulo di protezione hardware gestito di Azure Key Vault e una chiave HSM
È possibile usare un modulo di protezione hardware gestito di Azure Key Vault esistente oppure creare e attivare un nuovo modulo di avvio rapido: Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando PowerShell. Il modulo di protezione hardware gestito di Azure Key Vault deve avere la protezione ripulitura abilitata.
Per creare una chiave HSM, seguire Creare una chiave HSM.
Configurare l'assegnazione di ruolo modulo di protezione hardware gestito
Configurare un'assegnazione di ruolo per il modulo di protezione hardware gestito di Key Vault in modo che l'area di lavoro di Azure Databricks disponga dell'autorizzazione per accedervi. Sostituire i valori segnaposto tra parentesi quadre con i propri valori.
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
-ObjectId $workspace.StorageAccountIdentityPrincipalId
Configurare la crittografia DBFS con chiavi gestite dal cliente
Configurare l'area di lavoro di Azure Databricks per usare la chiave creata nell'insieme di credenziali delle chiavi di Azure. Sostituire i valori segnaposto tra parentesi quadre con i propri valori.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName <key-name> `
-EncryptionKeyVersion <key-version> `
-EncryptionKeyVaultUri <hsm-uri>
Disabilitare le chiavi gestite dal cliente
Quando si disabilitano le chiavi gestite dal cliente, l'account di archiviazione viene nuovamente crittografato con chiavi gestite da Microsoft.
Sostituire i valori segnaposto tra parentesi quadre con i propri valori e usare le variabili definite nei passaggi precedenti.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per