PowerShell을 사용하여 DBFS에 대한 HSM 고객 관리형 키 구성
참고 항목
이 기능은 프리미엄 플랜에서만 사용할 수 있습니다.
PowerShell을 사용하여 사용자 고유의 암호화 키를 구성하여 작업 영역 스토리지 계정을 암호화할 수 있습니다. 이 문서에서는 Azure Key Vault 관리형 HSM에서 사용자 고유의 키를 구성하는 방법을 설명합니다. Azure Key Vault 자격 증명 모음에서 키를 사용하는 방법에 대한 지침은 PowerShell을 사용하여 DBFS에 대한 고객 관리형 키 구성을 참조하세요.
Important
Key Vault는 Azure Databricks 작업 영역과 동일한 Azure 테넌트에 있어야 합니다.
DBFS에 대한 고객 관리형 키에 대한 자세한 내용은 DBFS 루트에 대한 고객 관리형 키를 참조하세요.
Azure Databricks PowerShell 모듈 설치
암호화를 위해 신규 또는 기존 Azure Databricks 작업 영역 준비
대괄호로 묶인 자리 표시자 값을 사용자 고유의 값으로 바꿉니다. <workspace-name>
은(는) Azure Portal에 표시되는 리소스 이름입니다.
작업 영역을 만들 때 암호화 준비:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
암호화를 위해 기존 작업 영역 준비:
$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Azure Databricks 작업 영역용 PowerShell cmdlet에 대한 자세한 내용은 Az.Databricks 참조를 참조하세요.
Azure Key Vault 관리형 HSM 및 HSM 키 만들기
기존 Azure Key Vault 관리형 HSM을 사용하거나 PowerShell을 사용하여 관리형 HSM을 프로비전 및 활성화하는 빠른 시작에 따라 새 HSM을 만들고 활성화할 수 있습니다. Azure Key Vault 관리형 HSM에는 제거 보호가 활성화되어 있어야 합니다.
HSM 키를 만들려면 HSM 키 만들기를 따릅니다.
관리형 HSM 역할 할당 구성
Azure Databricks 작업 영역에 액세스할 수 있는 권한이 있도록 Key Vault 관리형 HSM에 대한 역할 할당을 구성합니다. 대괄호로 묶인 자리 표시자 값을 사용자 고유의 값으로 바꿉니다.
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
-ObjectId $workspace.StorageAccountIdentityPrincipalId
고객 관리형 키로 DBFS 암호화 구성
Azure Key Vault에서 만든 키를 사용하도록 Azure Databricks 작업 영역을 구성합니다. 대괄호로 묶인 자리 표시자 값을 사용자 고유의 값으로 바꿉니다.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName <key-name> `
-EncryptionKeyVersion <key-version> `
-EncryptionKeyVaultUri <hsm-uri>
고객 관리형 키 사용 안 함
고객 관리형 키를 사용하지 않도록 설정하면 스토리지 계정이 Microsoft 관리형 키로 다시 한 번 암호화됩니다.
대괄호 안의 자리 표시자 값을 사용자 고유의 값으로 바꾸고 위의 단계에서 정의된 변수를 사용합니다.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default