Настройка ключей, управляемых клиентом HSM для DBFS с помощью PowerShell
Примечание.
Эта функция доступна только в плане Premium.
PowerShell можно использовать для настройки собственного ключа шифрования для шифрования учетной записи хранения рабочей области. В этой статье описывается настройка собственного ключа из управляемого HSM в Azure Key Vault. Инструкции по использованию ключа из хранилищ Azure Key Vault см. в статье "Настройка управляемых клиентом ключей для DBFS с помощью PowerShell".
Внимание
Хранилище ключей должно находиться в том же клиенте Azure, что и рабочая область Azure Databricks.
Дополнительные сведения о ключах, управляемых клиентом для DBFS, см. в разделе "Ключи, управляемые клиентом" для корневого каталога DBFS.
Установка модуля PowerShell Azure Databricks
Подготовка новой или существующей рабочей области Azure Databricks к шифрованию
Замените значения заполнителей в скобках своими собственными значениями. <workspace-name> — это имя ресурса, отображаемое на портале Azure.
Подготовка шифрования при создании рабочей области:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
Подготовка существующей рабочей области к шифрованию:
$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Дополнительные сведения о командлетах PowerShell для рабочих областей Azure Databricks см. в Справочнике по Az.Databricks.
Создание управляемого HSM в Azure Key Vault и ключа HSM
Вы можете использовать существующий управляемый HSM в Azure Key Vault или создать и активировать новую следующую краткое руководство. Подготовка и активация управляемого HSM с помощью PowerShell. Управляемый модуль HSM в Azure Key Vault должен иметь включенную защиту очистки.
Чтобы создать ключ HSM, следуйте инструкциям по созданию ключа HSM.
Настройка назначения роли управляемого устройства HSM
Настройте назначение ролей для управляемого HSM Key Vault, чтобы рабочая область Azure Databricks получила разрешение на доступ к нему. Замените значения заполнителей в скобках своими собственными значениями.
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
-ObjectId $workspace.StorageAccountIdentityPrincipalId
Настройка шифрования DBFS с использованием ключей, управляемых клиентом
Настройте рабочую область Azure Databricks для использования ключа, созданного в Azure Key Vault. Замените значения заполнителей в скобках своими собственными значениями.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName <key-name> `
-EncryptionKeyVersion <key-version> `
-EncryptionKeyVaultUri <hsm-uri>
Отключение ключей, управляемых клиентом
При отключении ключей, управляемых клиентом, ваша учетная запись хранения снова будет шифроваться с помощью ключей, управляемых корпорацией Майкрософт.
Замените значения заполнителей в скобках своими собственными значениями и используйте переменные, определенные в ходе предыдущих шагов.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по