Partilhar via

Configurar chaves gerenciadas pelo cliente HSM para DBFS usando o PowerShell

  • Artigo

Nota

Esta funcionalidade está disponível apenas no plano Premium.

Você pode usar o PowerShell para configurar sua própria chave de criptografia para criptografar a conta de armazenamento do espaço de trabalho. Este artigo descreve como configurar sua própria chave do Azure Key Vault Managed HSM. Para obter instruções sobre como usar uma chave dos cofres do Cofre de Chaves do Azure, consulte Configurar chaves gerenciadas pelo cliente para DBFS usando o PowerShell.

Importante

O Cofre da Chave deve estar no mesmo locatário do Azure que seu espaço de trabalho do Azure Databricks.

Para obter mais informações sobre chaves gerenciadas pelo cliente para DBFS, consulte Chaves gerenciadas pelo cliente para raiz DBFS.

Instalar o módulo PowerShell do Azure Databricks

  1. Instalar o Azure PowerShell.
  2. Instale o módulo PowerShell do Azure Databricks.

Preparar um espaço de trabalho do Azure Databricks novo ou existente para criptografia

Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores. O <workspace-name> é o nome do recurso conforme exibido no portal do Azure.

Prepare a criptografia ao criar um espaço de trabalho:

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Prepare um espaço de trabalho existente para criptografia:

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Para obter mais informações sobre cmdlets do PowerShell para espaços de trabalho do Azure Databricks, consulte a referência Az.Databricks.

Criar um HSM gerenciado do Azure Key Vault e uma chave HSM

Você pode usar um HSM gerenciado do Azure Key Vault existente ou criar e ativar um novo a seguir Guia de início rápido: provisionar e ativar um HSM gerenciado usando o PowerShell. O HSM Gerenciado do Azure Key Vault deve ter a Proteção contra Limpeza habilitada.

Para criar uma chave HSM, siga Criar uma chave HSM.

Configurar a atribuição de função do HSM gerenciado

Configure uma atribuição de função para o HSM gerenciado do Cofre de Chaves para que seu espaço de trabalho do Azure Databricks tenha permissão para acessá-lo. Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentityPrincipalId

Configurar a criptografia DBFS com chaves gerenciadas pelo cliente

Configure seu espaço de trabalho do Azure Databricks para usar a chave que você criou em seu Cofre de Chaves do Azure. Substitua os valores de espaço reservado entre colchetes pelos seus próprios valores.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Desativar chaves gerenciadas pelo cliente

Quando você desabilita chaves gerenciadas pelo cliente, sua conta de armazenamento é novamente criptografada com chaves gerenciadas pela Microsoft.

Substitua os valores de espaço reservado entre colchetes por seus próprios valores e use as variáveis definidas nas etapas anteriores.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default