使用 PowerShell 為 DBFS 設定 HSM 客戶管理的密鑰
注意
此功能僅適用於 進階版 方案。
您可以使用 PowerShell 來設定自己的加密金鑰來加密工作區記憶體帳戶。 本文說明如何從 Azure 金鑰保存庫 受控 HSM 設定您自己的密鑰。 如需從 Azure 金鑰保存庫 儲存庫使用金鑰的指示,請參閱使用 PowerShell 設定 DBFS 的客戶自控密鑰。
重要
金鑰保存庫 必須與 Azure Databricks 工作區位於相同的 Azure 租使用者中。
如需 DBFS 客戶自控密鑰的詳細資訊,請參閱 DBFS 根目錄的客戶自控密鑰。
安裝 Azure Databricks PowerShell 模組
準備新的或現有的 Azure Databricks 工作區以進行加密
以您自己的值取代括弧中的佔位元值。 <workspace-name>是資源名稱,如 Azure 入口網站 所示。
建立工作區時準備加密:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
準備現有的工作區以進行加密:
$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
如需 Azure Databricks 工作區的 PowerShell Cmdlet 詳細資訊,請參閱 Az.Databricks 參考。
建立 Azure 金鑰保存庫 受控 HSM 和 HSM 金鑰
您可以使用現有的 Azure 金鑰保存庫 受控 HSM,或建立並啟用下列快速入門:使用 PowerShell 布建和啟用受控 HSM。 Azure 金鑰保存庫 受控 HSM 必須啟用清除保護。
若要建立 HSM 金鑰,請遵循 建立 HSM 金鑰。
設定受控 HSM 角色指派
設定 金鑰保存庫 受控 HSM 的角色指派,讓您的 Azure Databricks 工作區有權存取它。 以您自己的值取代括弧中的佔位元值。
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
-ObjectId $workspace.StorageAccountIdentityPrincipalId
使用客戶管理的金鑰設定 DBFS 加密
設定您的 Azure Databricks 工作區,以使用您在 Azure 金鑰保存庫 中建立的密鑰。 以您自己的值取代括弧中的佔位元值。
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName <key-name> `
-EncryptionKeyVersion <key-version> `
-EncryptionKeyVaultUri <hsm-uri>
停用客戶自控金鑰
當您停用客戶管理的密鑰時,記憶體帳戶會再次使用 Microsoft 管理的金鑰加密。
以您自己的值取代括弧中的佔位元值,並使用先前步驟中定義的變數。
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default