共用方式為

使用 Azure CLI 為 DBFS 設定 HSM 客戶管理的密鑰

  • 發行項

注意

此功能僅適用於 進階版 方案

您可以使用 Azure CLI 來設定自己的加密金鑰來加密工作區記憶體帳戶。 本文說明如何從 Azure 金鑰保存庫 受控 HSM 設定您自己的密鑰。 如需從 Azure 金鑰保存庫 保存庫使用金鑰的指示,請參閱使用 Azure CLI 設定 DBFS 的客戶自控密鑰。

重要

金鑰保存庫 必須與 Azure Databricks 工作區位於相同的 Azure 租使用者中。

如需 DBFS 客戶自控密鑰的詳細資訊,請參閱 DBFS 根目錄的客戶自控密鑰。

安裝 Azure Databricks CLI 擴充功能

  1. 安裝 Azure CLI

  2. 安裝 Azure Databricks CLI 擴充功能。

    az extension add --name databricks

準備新的或現有的 Azure Databricks 工作區以進行加密

以您自己的值取代括弧中的佔位元值。 <workspace-name>是資源名稱,如 Azure 入口網站 所示。

az login
az account set --subscription <subscription-id>

準備在工作區建立期間進行加密:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption

準備現有的工作區以進行加密:

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption

記下 principalId 命令輸出區段中的欄位 storageAccountIdentity 。 當您在 金鑰保存庫 上設定角色指派時,會提供它作為受控識別值。

如需 Azure Databricks 工作區之 Azure CLI 命令的詳細資訊,請參閱 az databricks workspace 命令參考

建立 Azure 金鑰保存庫 受控 HSM 和 HSM 金鑰

您可以使用現有的 Azure 金鑰保存庫 受控 HSM,或建立並啟用新的快速入門:使用 Azure CLI 布建和啟用受控 HSM。 Azure 金鑰保存庫 受控 HSM 必須啟用清除保護

若要建立 HSM 金鑰,請遵循 建立 HSM 金鑰

設定受控 HSM 角色指派

設定 金鑰保存庫 受控 HSM 的角色指派,讓您的 Azure Databricks 工作區有權存取它。 以您自己的值取代括弧中的佔位元值。

az keyvault role assignment create \
        --role "Managed HSM Crypto Service Encryption User" \
        --scope "/" \
        --hsm-name <hsm-name> \
        --assignee-object-id <managed-identity>

將取代<managed-identity>為您principalId備妥工作區以進行加密所注意到的值。

使用客戶管理的金鑰設定 DBFS 加密

設定您的 Azure Databricks 工作區,以使用您在 Azure 金鑰保存庫 中建立的密鑰。

以您自己的值取代預留位置值。

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>

停用客戶自控金鑰

當您停用客戶管理的密鑰時,記憶體帳戶會再次使用 Microsoft 管理的金鑰加密。

以您自己的值取代括弧中的佔位元值,並使用先前步驟中定義的變數。

az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default