Udostępnij za pośrednictwem

Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu programu PowerShell

  • Artykuł

Uwaga

Ta funkcja jest dostępna tylko w planie Premium.

Program PowerShell umożliwia skonfigurowanie własnego klucza szyfrowania w celu zaszyfrowania konta magazynu obszaru roboczego. W tym artykule opisano sposób konfigurowania własnego klucza z zarządzanego modułu HSM usługi Azure Key Vault. Aby uzyskać instrukcje dotyczące używania klucza z magazynów usługi Azure Key Vault, zobacz Konfigurowanie kluczy zarządzanych przez klienta dla systemu plików DBFS przy użyciu programu PowerShell.

Ważne

Usługa Key Vault musi znajdować się w tej samej dzierżawie platformy Azure co obszar roboczy usługi Azure Databricks.

Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta dla systemu plików DBFS, zobacz Klucze zarządzane przez klienta dla katalogu głównego systemu plików DBFS.

Instalowanie modułu programu PowerShell usługi Azure Databricks

  1. Zainstalowanie programu Azure PowerShell.
  2. Zainstaluj moduł Programu PowerShell usługi Azure Databricks.

Przygotowywanie nowego lub istniejącego obszaru roboczego usługi Azure Databricks do szyfrowania

Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami. Jest <workspace-name> to nazwa zasobu wyświetlana w witrynie Azure Portal.

Przygotowanie szyfrowania podczas tworzenia obszaru roboczego:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Przygotuj istniejący obszar roboczy do szyfrowania:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Aby uzyskać więcej informacji na temat poleceń cmdlet programu PowerShell dla obszarów roboczych usługi Azure Databricks, zobacz dokumentację modułu Az.Databricks.

Tworzenie zarządzanego modułu HSM usługi Azure Key Vault i klucza HSM

Możesz użyć istniejącego zarządzanego modułu HSM usługi Azure Key Vault lub utworzyć i aktywować nowy z następujących przewodników Szybki start: aprowizuj i aktywuj zarządzany moduł HSM przy użyciu programu PowerShell. Zarządzany moduł HSM usługi Azure Key Vault musi mieć włączoną ochronę przed przeczyszczeniem .

Aby utworzyć klucz HSM, wykonaj czynności opisane w sekcji Tworzenie klucza HSM.

Konfigurowanie przypisania roli zarządzanego modułu HSM

Skonfiguruj przypisanie roli dla zarządzanego modułu HSM usługi Key Vault, aby obszar roboczy usługi Azure Databricks miał uprawnienia dostępu do niego. Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentityPrincipalId

Konfigurowanie szyfrowania DBFS przy użyciu kluczy zarządzanych przez klienta

Skonfiguruj obszar roboczy usługi Azure Databricks pod kątem użycia klucza utworzonego w usłudze Azure Key Vault. Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Wyłączanie kluczy zarządzanych przez klienta

Po wyłączeniu kluczy zarządzanych przez klienta konto magazynu jest ponownie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.

Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami i użyj zmiennych zdefiniowanych w poprzednich krokach.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default