Partilhar via

Configurar chaves geridas pelo cliente para DBFS através do PowerShell

  • Artigo

Nota

Esta funcionalidade está disponível apenas no plano Premium.

Você pode usar o PowerShell para configurar sua própria chave de criptografia para criptografar a conta de armazenamento do espaço de trabalho. Este artigo descreve como configurar a sua própria chave a partir dos cofres do Azure Key Vault. Para obter instruções sobre como usar uma chave do HSM gerenciado do Azure Key Vault, consulte Configurar chaves gerenciadas pelo cliente do HSM para DBFS usando o PowerShell.

Para obter mais informações sobre chaves gerenciadas pelo cliente para DBFS, consulte Chaves gerenciadas pelo cliente para raiz DBFS.

Instalar o módulo PowerShell do Azure Databricks

  1. Instalar o Azure PowerShell.
  2. Instale o módulo PowerShell do Azure Databricks.

Preparar um espaço de trabalho do Azure Databricks novo ou existente para criptografia

Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores. O <workspace-name> é o nome do recurso conforme exibido no portal do Azure.

Prepare a criptografia ao criar um espaço de trabalho:

$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Prepare um espaço de trabalho existente para criptografia:

$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Para obter mais informações sobre cmdlets do PowerShell para espaços de trabalho do Azure Databricks, consulte a referência Az.Databricks.

Criar um Cofre de Chaves novo

O Cofre da Chave do Azure que você usa para armazenar chaves gerenciadas pelo cliente para DBFS padrão (raiz) deve ter duas configurações de proteção de chave habilitadas, Exclusão Suave e Proteção contra Limpeza.

Importante

O Cofre da Chave deve estar no mesmo locatário do Azure que seu espaço de trabalho do Azure Databricks.

Na versão 2.0.0 e posterior do módulo, a Az.KeyVault exclusão suave é habilitada por padrão quando você cria um novo Cofre de Chaves.

O exemplo a seguir cria um novo Cofre de Chaves com as propriedades Soft Delete e Purge Protection habilitadas. Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores.

$keyVault = New-AzKeyVault -Name <key-vault> `
     -ResourceGroupName <resource-group> `
     -Location <location> `
     -EnablePurgeProtection

Para saber como habilitar a Proteção de Exclusão Suave e Limpeza em um Cofre de Chaves existente com o PowerShell, consulte "Habilitando a exclusão suave" e "Habilitando a Proteção contra Limpeza" em Como usar a exclusão suave do Cofre de Chaves com o PowerShell.

Configurar a política de acesso ao Cofre da Chave

Defina a política de acesso para o Cofre da Chave para que o espaço de trabalho do Azure Databricks tenha permissão para acessá-lo, usando Set-AzKeyVaultAccessPolicy.

Set-AzKeyVaultAccessPolicy `
      -VaultName $keyVault.VaultName `
      -ObjectId $workspace.StorageAccountIdentity.PrincipalId `
      -PermissionsToKeys wrapkey,unwrapkey,get

Criar uma nova chave

Crie uma nova chave no Cofre da Chave usando o cmdlet Add-AzKeyVaultKey . Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

O armazenamento raiz DBFS suporta chaves RSA e RSA-HSM dos tamanhos 2048, 3072 e 4096. Para obter mais informações sobre as chaves, veja Acerca das chaves do Key Vault).

Configurar a criptografia DBFS com chaves gerenciadas pelo cliente

Configure seu espaço de trabalho do Azure Databricks para usar a chave que você criou em seu Cofre de Chaves do Azure. Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
      -Name <workspace-name>
     -EncryptionKeySource Microsoft.Keyvault `
     -EncryptionKeyName $key.Name `
     -EncryptionKeyVersion $key.Version `
     -EncryptionKeyVaultUri $keyVault.VaultUri

Desativar chaves gerenciadas pelo cliente

Quando você desabilita chaves gerenciadas pelo cliente, sua conta de armazenamento é novamente criptografada com chaves gerenciadas pela Microsoft.

Substitua os valores de espaço reservado entre colchetes por seus próprios valores e use as variáveis definidas nas etapas anteriores.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default