Modelo ARM para suporte de firewall para a conta de armazenamento do espaço de trabalho
Este artigo fornece o modelo ARM e uma descrição dos campos necessários para suporte de firewall para a conta de armazenamento do espaço de trabalho. O suporte de firewall para sua conta de armazenamento de espaço de trabalho é controlado pela propriedade storageAccountFirewallde modelo ARM , que deve ser definida como Enabled.
Para determinadas configurações de espaço de trabalho, como habilitar o perfil de segurança de conformidade, talvez seja necessário um modelo ARM diferente. Nesse caso, entre em contato com a equipe da sua conta Databricks.
Você também pode atualizar ou criar seu espaço de trabalho usando o Terraform. Consulte o provedor azurerm_databricks_workspace Terraform.
Campos de modelo ARM
Esta tabela lista os campos e suas descrições para o modelo ARM abaixo para suporte de firewall para a conta de armazenamento do espaço de trabalho.
| Campo | Descrição |
|---|---|
| Subscrição | Subscrição do Azure a utilizar. |
| Grupo de recursos | Grupo de recursos a utilizar. Normalmente, esse é o grupo de recursos da sua rede virtual. |
| Nome do espaço de trabalho | Nome do espaço de trabalho. Se você estiver usando um espaço de trabalho existente, ele deverá corresponder exatamente ao nome do espaço de trabalho existente. |
| Nome do Grupo de Recursos Gerenciados | O grupo de recursos gerenciados para seu espaço de trabalho. Isso é preenchido automaticamente no formulário para um nome padrão. Altere-o se sua organização quiser personalizar o nome do grupo de recursos gerenciados. |
| Nome da Conta de Armazenamento | A conta de armazenamento do espaço de trabalho do Azure em seu grupo de recursos gerenciados. Isso é preenchido automaticamente no formulário para um nome padrão. Altere-o se sua organização quiser personalizar o nome do grupo de recursos gerenciados. |
| ID de rede VNet do espaço de trabalho | O ID do recurso para sua rede virtual. Para um espaço de trabalho existente, você pode obtê-lo navegando até o espaço de trabalho no portal do Azure. Clique em Propriedades. Em ID de rede virtual personalizada, clique em Exibir valor como JSON. Copie o ID do value recurso no campo. |
| Nome da sub-rede privada personalizada | A sub-rede privada para sua rede virtual. Para um espaço de trabalho existente, você pode obtê-lo navegando até o espaço de trabalho no portal do Azure. Clique em Propriedades. Em Sub-rede privada personalizada, clique em Exibir valor como JSON. Copie o nome da sub-rede no value campo. |
| Nome da sub-rede pública personalizada | A sub-rede pública para sua rede virtual. Para um espaço de trabalho existente, você pode obtê-lo navegando até o espaço de trabalho no portal do Azure. Clique em Propriedades. Em Sub-rede pública personalizada, clique em Exibir valor como JSON. Copie o nome da sub-rede no value campo. |
| Location | O nome abreviado para a região do Azure que é preenchida automaticamente para corresponder ao campo Região principal. |
| Nome do conector de acesso | Para implantações típicas, não modifique este campo. O Azure Databricks cria um novo Conector de Acesso. |
| Tipo de identidade gerenciada | Para implantações típicas, não modifique este campo. |
| ID do recurso de identidade gerenciado pelo usuário | Para implantações típicas, não modifique este campo. |
| Firewall da conta de armazenamento | Especifica se o suporte de firewall deve ser habilitado para sua conta de armazenamento de espaço de trabalho. |
| Desativar IP Público | Isso deve ser definido como true. Isso permite a conectividade segura do cluster, que é necessária para o suporte de firewall para sua conta de armazenamento de espaço de trabalho. |
| Acesso à rede pública | Normalmente, defina isso como Habilitado. Se você habilitar o Link Privado, consulte Habilitar conexões back-end e front-end do Link Privado do Azure para saber quais configurações usar. |
| Regras Nsg Necessárias | Normalmente, defina isso como Todas as regras. Se você habilitar o Link Privado, consulte Habilitar conexões back-end e front-end do Link Privado do Azure para saber quais configurações usar. |
| Chaves gerenciadas pelo cliente ativadas | Defina isso como verdadeiro se você usar chaves gerenciadas pelo cliente para serviços gerenciados ou discos gerenciados. Consulte Chaves gerenciadas pelo cliente para criptografia. |
| Tipo de chaves gerenciadas pelo cliente | Se as chaves gerenciadas pelo cliente estiverem habilitadas, selecione os tipos de chave gerenciadas pelo cliente para este espaço de trabalho. Escolha Serviços gerenciados, ManagedDisks ou ambos. |
| ID da chave do cofre gerenciado do Srvc Key | Se você usar chaves gerenciadas pelo cliente para serviços gerenciados, especifique o ID da chave do cofre de chaves. |
| ID da chave do cofre do disco gerenciado | Se você usar chaves gerenciadas pelo cliente para discos gerenciados, especifique o ID da chave do cofre de chaves. |
| Rotação automática de disco gerenciado | Se você usar chaves gerenciadas pelo cliente para discos gerenciados, especifique se deseja pegar novas versões de chave automaticamente. |
Modelo ARM para suporte de firewall para sua conta de armazenamento de espaço de trabalho
Copie o seguinte modelo ARM para habilitar ou desabilitar o suporte de firewall para sua conta de armazenamento de espaço de trabalho. Você também pode implantar um modelo ARM de exemplo:
- Modelo do Azure Databricks para firewall de armazenamento de espaço de trabalho usando uma identidade gerenciada atribuída pelo usuário.
- Modelo do Azure Databricks para firewall de armazenamento de espaço de trabalho usando uma identidade gerenciada atribuída ao sistema
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "String",
"metadata": {
"description": "The name of the Azure Databricks workspace to update."
}
},
"location": {
"defaultValue": "[resourceGroup().location]",
"type": "String",
"metadata": {
"description": "Location for all resources."
}
},
"managedResourceGroupName": {
"defaultValue": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"type": "String",
"metadata": {
"description": "The Managed Resource GroupName of the workspace. Do not change unless using a custom managed resource group name."
}
},
"storageAccountName": {
"defaultValue": "[concat('dbstorage', uniqueString(resourceGroup().id, subscription().id))]",
"type": "String",
"metadata": {
"description": "Workspace storage account name. Do not change unless using a custom storage account name."
}
},
"workspaceVnetResourceId": {
"defaultValue": "Required Resource ID of the workspace VNet",
"type": "String",
"metadata": {
"description": "The Resource ID of the injected VNet for the workspace"
}
},
"workspacePrivateSubnetName": {
"defaultValue": "private-subnet",
"type": "String",
"metadata": {
"description": "The private subnet name for the workspace"
}
},
"workspacePublicSubnetName": {
"defaultValue": "public-subnet",
"type": "String",
"metadata": {
"description": "The public subnet name for the workspace"
}
},
"accessConnectorName": {
"defaultValue": "[format('{0}-access-connector', parameters('workspaceName'))]",
"type": "String",
"metadata": {
"description": "The access connector to create for the workspace"
}
},
"ManagedIdentityType": {
"defaultValue": "SystemAssigned",
"allowedValues": [
"SystemAssigned",
"UserAssigned",
"SystemAssigned,UserAssigned"
],
"type": "String",
"metadata": {
"description": "Access Connector Managed Identity Type"
}
},
"userManagedIdentityResourceId": {
"defaultValue": "Required For User Mananged Identity",
"type": "String",
"metadata": {
"description": "The Resource Id of the User Managed Identity"
}
},
"storageAccountFirewall": {
"defaultValue": "Enabled",
"allowedValues": [
"Enabled",
"Disabled"
],
"type": "String",
"metadata": {
"description": "Enable or Disable firewall support for workspace default storage feature"
}
},
"disablePublicIp": {
"defaultValue": true,
"type": "Bool",
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (SCC) enabled or not (No Public IP)."
}
},
"publicNetworkAccess": {
"defaultValue": "Enabled",
"allowedValues": [
"Enabled",
"Disabled"
],
"type": "String",
"metadata": {
"description": "Indicates whether public network access is allowed to the workspace with private endpoint - possible values are Enabled or Disabled."
}
},
"requiredNsgRules": {
"defaultValue": "AllRules",
"allowedValues": [
"AllRules",
"NoAzureDatabricksRules"
],
"type": "String",
"metadata": {
"description": "Indicates whether to retain or remove the AzureDatabricks outbound NSG rule - possible values are AllRules, NoAzureDatabricksRules (private link)."
}
},
"storageDoubleEncryption": {
"defaultValue": false,
"type": "Bool",
"metadata": {
"description": "Is double encryption for managed storage enabled ?"
}
},
"customerManagedKeysEnabled": {
"defaultValue": false,
"type": "Bool",
"metadata": {
"description": "Is CMK for managed services enabled ?"
}
},
"CustomerManagedKeyType": {
"defaultValue": "ManagedServicesCMK",
"allowedValues": [
"ManagedServicesCMK",
"ManagedDisksCMK",
"BothCMK"
],
"type": "String",
"metadata": {
"description": "Selects the CMK types for this workspace, Managed Services and/or Disks, Workspace storage account is not enabled here"
}
},
"ManagedSrvcKeyVaultKeyId": {
"defaultValue": "https://kv-url/keys/keyname/version",
"type": "String",
"metadata": {
"description": "The Key Vault Key ID"
}
},
"ManagedDiskKeyVaultKeyId": {
"defaultValue": "https://kv-url/keys/keyname/version",
"type": "String",
"metadata": {
"description": "The Key Vault Key ID"
}
},
"ManagedDiskAutoRotation": {
"type": "bool",
"defaultValue": false,
"allowedValues": [
true,
false
],
"metadata": {
"description": "Whether managed disk will pick up new key version automatically."
}
}
},
"variables": {
"ApiVersion": "2024-05-01",
"workspaceSku": "premium",
"systemAssignedObject": {
"type": "[parameters('ManagedIdentityType')]"
},
"userAssignedObject": {
"type": "[parameters('ManagedIdentityType')]",
"userAssignedIdentities": {
"[parameters('userManagedIdentityResourceId')]": {}
}
},
"ConnectorSystemAssigned": {
"id": "[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]",
"identityType": "[parameters('ManagedIdentityType')]"
},
"connectorUserAssigned": {
"id": "[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]",
"identityType": "[parameters('ManagedIdentityType')]",
"userAssignedIdentityId": "[parameters('userManagedIdentityResourceId')]"
},
"managedSrvcFirst" : "[split(parameters('ManagedSrvcKeyVaultKeyId'),'/keys/')]",
"managedSrvcSecond" : "[split(variables('managedSrvcFirst')[1],'/')]",
"managedDiskFirst" : "[split(parameters('ManagedDiskKeyVaultKeyId'),'/keys/')]",
"managedDiskSecond" : "[split(variables('managedDiskFirst')[1],'/')]",
"ManagedServicesCMK": {
"managedServices": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedSrvcFirst')[0]]",
"keyName": "[variables('managedSrvcSecond')[0]]",
"keyVersion": "[variables('managedSrvcSecond')[1]]"
}
}
},
"ManagedDisksCMK": {
"managedDisk": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedDiskFirst')[0]]",
"keyName": "[variables('managedDiskSecond')[0]]",
"keyVersion": "[variables('managedDiskSecond')[1]]"
},
"rotationToLatestKeyVersionEnabled": "[parameters('ManagedDiskAutoRotation')]"
}
},
"BothCMK": {
"managedServices": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedSrvcFirst')[0]]",
"keyName": "[variables('managedSrvcSecond')[0]]",
"keyVersion": "[variables('managedSrvcSecond')[1]]"
}
},
"managedDisk": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedDiskFirst')[0]]",
"keyName": "[variables('managedDiskSecond')[0]]",
"keyVersion": "[variables('managedDiskSecond')[1]]"
},
"rotationToLatestKeyVersionEnabled": "[parameters('ManagedDiskAutoRotation')]"
}
}
},
"resources": [
{
"type": "Microsoft.Databricks/accessConnectors",
"apiVersion": "2023-05-01",
"name": "[parameters('accessConnectorName')]",
"location": "[parameters('location')]",
"identity": "[if(equals(parameters('ManagedIdentityType'),'SystemAssigned'),variables('systemAssignedObject'),variables('userAssignedObject'))]",
"properties": {}
},
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "[variables('ApiVersion')]",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]"
],
"sku": {
"name": "[variables('workspaceSku')]"
},
"properties": {
"managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', parameters('managedResourceGroupName'))]",
"publicNetworkAccess": "[parameters('publicNetworkAccess')]",
"requiredNsgRules": "[parameters('requiredNsgRules')]",
"accessConnector": "[if(equals(parameters('ManagedIdentityType'),'SystemAssigned'),variables('ConnectorSystemAssigned'),variables('connectorUserAssigned'))]",
"defaultStorageFirewall": "[parameters('storageAccountFirewall')]",
"parameters": {
"customVirtualNetworkId": {
"value": "[parameters('workspaceVnetResourceId')]"
},
"customPrivateSubnetName": {
"value": "[parameters('workspacePrivateSubnetName')]"
},
"customPublicSubnetName": {
"value": "[parameters('workspacePublicSubnetName')]"
},
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
},
"storageAccountName": {
"value": "[parameters('storageAccountName')]"
},
"requireInfrastructureEncryption": {
"value": "[parameters('storageDoubleEncryption')]"
}
}
},
"condition": "[not(parameters('customerManagedKeysEnabled'))]"
},
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "[variables('ApiVersion')]",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]"
],
"sku": {
"name": "[variables('workspaceSku')]"
},
"properties": {
"managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', parameters('managedResourceGroupName'))]",
"publicNetworkAccess": "[parameters('publicNetworkAccess')]",
"requiredNsgRules": "[parameters('requiredNsgRules')]",
"accessConnector": "[if(equals(parameters('ManagedIdentityType'),'SystemAssigned'),variables('ConnectorSystemAssigned'),variables('connectorUserAssigned'))]",
"encryption": {
"entities": "[variables(parameters('CustomerManagedKeyType'))]"
},
"defaultStorageFirewall": "[parameters('storageAccountFirewall')]",
"parameters": {
"customVirtualNetworkId": {
"value": "[parameters('workspaceVnetResourceId')]"
},
"customPrivateSubnetName": {
"value": "[parameters('workspacePrivateSubnetName')]"
},
"customPublicSubnetName": {
"value": "[parameters('workspacePublicSubnetName')]"
},
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
},
"storageAccountName": {
"value": "[parameters('storageAccountName')]"
},
"requireInfrastructureEncryption": {
"value": "[parameters('storageDoubleEncryption')]"
}
}
},
"condition": "[parameters('customerManagedKeysEnabled')]"
}
]
}