Konfigurera kundhanterade HSM-nycklar för DBFS med hjälp av PowerShell
Du kan använda PowerShell för att konfigurera din egen krypteringsnyckel för att kryptera lagringskontot för arbetsytan. Den här artikeln beskriver hur du konfigurerar din egen nyckel från Azure Key Vault Managed HSM. Anvisningar om hur du använder en nyckel från Azure Key Vault-valv finns i Konfigurera kundhanterade nycklar för DBFS med PowerShell.
Viktigt!
Key Vault måste finnas i samma Azure-klientorganisation som din Azure Databricks-arbetsyta.
Mer information om kundhanterade nycklar för DBFS finns i Kundhanterade nycklar för DBFS-rot.
Installera Azure Databricks PowerShell-modulen
Förbereda en ny eller befintlig Azure Databricks-arbetsyta för kryptering
Ersätt platshållarvärdena inom hakparenteser med dina egna värden. <workspace-name> är resursnamnet som visas i Azure-portalen.
Förbered kryptering när du skapar en arbetsyta:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
Förbereda en befintlig arbetsyta för kryptering:
$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Mer information om PowerShell-cmdletar för Azure Databricks-arbetsytor finns i Az.Databricks-referensen.
Skapa en Hanterad HSM för Azure Key Vault och en HSM-nyckel
Du kan använda en befintlig Hanterad HSM för Azure Key Vault eller skapa och aktivera en ny följande snabbstart: Etablera och aktivera en hanterad HSM med Hjälp av PowerShell. Azure Key Vault Managed HSM måste ha Purge Protection aktiverat.
Om du vill skapa en HSM-nyckel följer du Skapa en HSM-nyckel.
Konfigurera den hanterade HSM-rolltilldelningen
Konfigurera en rolltilldelning för Key Vault Managed HSM så att din Azure Databricks-arbetsyta har behörighet att komma åt den. Ersätt platshållarvärdena inom hakparenteser med dina egna värden.
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
-ObjectId $workspace.StorageAccountIdentityPrincipalId
Konfigurera DBFS-kryptering med kundhanterade nycklar
Konfigurera din Azure Databricks-arbetsyta så att den använder nyckeln som du skapade i Azure Key Vault. Ersätt platshållarvärdena inom hakparenteser med dina egna värden.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName <key-name> `
-EncryptionKeyVersion <key-version> `
-EncryptionKeyVaultUri <hsm-uri>
Inaktivera kundhanterade nycklar
När du inaktiverar kundhanterade nycklar krypteras ditt lagringskonto återigen med Microsoft-hanterade nycklar.
Ersätt platshållarvärdena inom hakparenteser med dina egna värden och använd variablerna som definierades i föregående steg.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för