PowerShell’i kullanarak DBFS için müşteri tarafından yönetilen anahtarları yapılandırma
Not
Bu özellik yalnızca Premium planda kullanılabilir.
Çalışma alanı depolama hesabını şifrelemek üzere kendi şifreleme anahtarınızı yapılandırmak için PowerShell'i kullanabilirsiniz. Bu makalede Azure Key Vault kasalarından kendi anahtarınızı yapılandırma adımları açıklanmaktadır. Azure Key Vault Yönetilen HSM'den anahtar kullanma yönergeleri için bkz . PowerShell kullanarak DBFS için HSM müşteri tarafından yönetilen anahtarları yapılandırma.
DBFS için müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz . DBFS kökü için müşteri tarafından yönetilen anahtarlar.
Azure Databricks PowerShell modülünü yükleme
Şifreleme için yeni veya mevcut bir Azure Databricks çalışma alanını hazırlama
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin. <workspace-name>, Azure portalında görüntülenen kaynak adıdır.
Çalışma alanı oluştururken şifrelemeyi hazırlayın:
$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
Mevcut bir çalışma alanını şifreleme için hazırlama:
$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Azure Databricks çalışma alanları için PowerShell cmdlet'leri hakkında daha fazla bilgi için az.Databricks başvurusuna bakın.
Yeni Anahtar Kasası oluşturma
Varsayılan (kök) DBFS için müşteri tarafından yönetilen anahtarları depolamak için kullandığınız Azure Key Vault'ta Geçici Silme ve Temizleme Koruması olmak üzere iki anahtar koruma ayarı etkinleştirilmelidir.
Önemli
Key Vault, Azure Databricks çalışma alanınızla aynı Azure kiracısında olmalıdır.
Modülün Az.KeyVault 2.0.0 ve sonraki sürümlerinde, yeni bir Key Vault oluşturduğunuzda geçici silme varsayılan olarak etkinleştirilir.
Aşağıdaki örnek Geçici Silme ve Temizleme Koruması özellikleri etkinleştirilmiş yeni bir Key Vault oluşturur. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin.
$keyVault = New-AzKeyVault -Name <key-vault> `
-ResourceGroupName <resource-group> `
-Location <location> `
-EnablePurgeProtection
PowerShell ile mevcut bir Key Vault'ta Geçici Silme ve Temizleme Koruması'nı etkinleştirmeyi öğrenmek için, PowerShell ile Key Vault geçici silmeyi kullanma konusunda "Geçici silmeyi etkinleştirme" ve "Temizleme Korumasını Etkinleştirme" bölümüne bakın.
Key Vault erişim ilkesini yapılandırma
Set-AzKeyVaultAccessPolicy kullanarak Azure Databricks çalışma alanının erişim iznine sahip olması için Key Vault için erişim ilkesini ayarlayın.
Set-AzKeyVaultAccessPolicy `
-VaultName $keyVault.VaultName `
-ObjectId $workspace.StorageAccountIdentity.PrincipalId `
-PermissionsToKeys wrapkey,unwrapkey,get
Yeni anahtar oluşturma
Add-AzKeyVaultKey cmdlet'ini kullanarak Key Vault'ta yeni bir anahtar oluşturun. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin.
$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'
DBFS kök depolama, 2048, 3072 ve 4096 boyutlarında RSA ve RSA-HSM anahtarlarını destekler. Anahtarlar hakkında daha fazla bilgi için, bkz. Key Vault anahtarları hakkında.
Müşteri tarafından yönetilen anahtarlarla DBFS şifrelemeyi yapılandırma
Azure Databricks çalışma alanınızı Azure Key Vault'unuzda oluşturduğunuz anahtarı kullanacak şekilde yapılandırın. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName $key.Name `
-EncryptionKeyVersion $key.Version `
-EncryptionKeyVaultUri $keyVault.VaultUri
Müşteri tarafından yönetilen anahtarları devre dışı bırakma
Müşteri tarafından yönetilen anahtarları devre dışı bırakırsanız depolama hesabınız bir kez daha Microsoft tarafından yönetilen anahtarlarla şifrelenir.
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin ve önceki adımlarda tanımlanan değişkenleri kullanın.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin