Konfigurera kundhanterade HSM-nycklar för DBFS med hjälp av Azure CLI
Du kan använda Azure CLI för att konfigurera din egen krypteringsnyckel för att kryptera lagringskontot för arbetsytan. Den här artikeln beskriver hur du konfigurerar din egen nyckel från Azure Key Vault Managed HSM. Anvisningar om hur du använder en nyckel från Azure Key Vault-valv finns i Konfigurera kundhanterade nycklar för DBFS med hjälp av Azure CLI.
Viktigt!
Key Vault måste finnas i samma Azure-klientorganisation som din Azure Databricks-arbetsyta.
Mer information om kundhanterade nycklar för DBFS finns i Kundhanterade nycklar för DBFS-rot.
Installera Azure Databricks CLI-tillägget
Installera Azure Databricks CLI-tillägget.
az extension add --name databricks
Förbereda en ny eller befintlig Azure Databricks-arbetsyta för kryptering
Ersätt platshållarvärdena inom hakparenteser med dina egna värden. <workspace-name> är resursnamnet som visas i Azure-portalen.
az login
az account set --subscription <subscription-id>
Förbered för kryptering när arbetsytan skapas:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Förbereda en befintlig arbetsyta för kryptering:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Observera fältet principalId i storageAccountIdentity avsnittet i kommandoutdata. Du anger det som det hanterade identitetsvärdet när du konfigurerar rolltilldelningen i ditt Key Vault.
Mer information om Azure CLI-kommandon för Azure Databricks-arbetsytor finns i kommandoreferensen az databricks workspace.
Skapa en Hanterad HSM för Azure Key Vault och en HSM-nyckel
Du kan använda en befintlig Hanterad HSM för Azure Key Vault eller skapa och aktivera en ny följande snabbstart: Etablera och aktivera en hanterad HSM med Azure CLI. Azure Key Vault Managed HSM måste ha Purge Protection aktiverat.
Om du vill skapa en HSM-nyckel följer du Skapa en HSM-nyckel.
Konfigurera den hanterade HSM-rolltilldelningen
Konfigurera en rolltilldelning för Key Vault Managed HSM så att din Azure Databricks-arbetsyta har behörighet att komma åt den. Ersätt platshållarvärdena inom hakparenteser med dina egna värden.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
Ersätt <managed-identity> med det principalId värde som du antecknade när du förberedde din arbetsyta för kryptering.
Konfigurera DBFS-kryptering med kundhanterade nycklar
Konfigurera din Azure Databricks-arbetsyta så att den använder nyckeln som du skapade i Azure Key Vault.
Ersätt platshållarvärdena med dina egna värden.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Inaktivera kundhanterade nycklar
När du inaktiverar kundhanterade nycklar krypteras ditt lagringskonto återigen med Microsoft-hanterade nycklar.
Ersätt platshållarvärdena inom hakparenteser med dina egna värden och använd variablerna som definierades i föregående steg.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för