次の方法で共有

PowerShell を使用して DBFS 用の HSM カスタマー マネージド キーを構成する

  • [アーティクル]

Note

この機能は、Premium プランでのみ使用できます。

PowerShell を使用して独自の暗号化キーを構成し、ワークスペース ストレージ アカウントを暗号化できます。 この記事では、Azure Key Vault マネージド HSM から独自のキーを構成する方法について説明します。 Azure Key Vault コンテナーからのキーの使用手順については、「PowerShell を使用して DBFS 用のカスタマー マネージド キーを構成する」を参照してください。

重要

Key Vault は、Azure Databricks ワークスペースと同じ Azure テナント内にある必要があります。

DBFS 用のカスタマー マネージド キーの詳細については、「DBFS ルート用のカスタマー マネージド キー」を参照してください。

Azure Databricks PowerShell モジュールをインストールする

  1. Azure PowerShell をインストールします
  2. Azure Databricks PowerShell モジュールをインストールします

新規または既存の Azure Databricks ワークスペースを暗号化用に準備する

かっこ内のプレースホルダー値は独自の値に置き換えてください。 <workspace-name> は、Azure portal に表示されるリソース名です。

ワークスペースの作成時に暗号化に向けて準備する:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

暗号化用に既存のワークスペースを準備する:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Azure Databricks ワークスペースの PowerShell コマンドレットの詳細については、「Az.Databricks リファレンス」を参照してください。

Azure Key Vault Managed HSM と HSM キーを作成する

既存の Azure Key Vault マネージド HSM を使用するか、「クイックスタート: PowerShell を使用してマネージド HSM をプロビジョニングしてアクティブにする」に従って新しい HSM を作成してアクティブにすることができます。 Azure Key Vault Managed HSM では、消去保護が有効になっている必要があります。

HSM キーを作成するには、「HSM キーを作成する」に従ってください。

マネージド HSM ロールの割り当てを構成する

Azure Databricks ワークスペースからアクセスできるように、キー コンテナー マネージド HSM 向けのロールの割り当てを構成します。 かっこ内のプレースホルダー値は独自の値に置き換えてください。

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentityPrincipalId

カスタマー マネージド キーによる DEFS 暗号化を構成する

Azure Databricks ワークスペースを構成して、Azure Key Vault で作成したキーを使用します。 かっこ内のプレースホルダー値は独自の値に置き換えてください。

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

カスタマー マネージド キーを無効にする

カスタマー マネージド キーを無効にすると、ストレージ アカウントは、Microsoft が管理するキーを使用して再び暗号化されます。

かっこ内のプレースホルダー値を独自の値に置き換え、前の手順で定義した変数を使用してください。

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default