Konfigurieren von kundenseitig verwalteten HSM-Schlüsseln für DBFS mithilfe der Azure CLI
Hinweis
Dieses Feature ist nur im Premium-Plan verfügbar.
Sie können die Azure CLI verwenden, um Ihren eigenen Verschlüsselungsschlüssel für die Verschlüsseln des DBFS-Stammspeicherkontos zu konfigurieren. In diesem Artikel wird beschrieben, wie Sie Ihren eigenen Schlüssel aus Azure Key Vault Managed HSM konfigurieren. Eine Anleitung zur Verwendung eines Schlüssels aus Azure Key Vault-Tresoren finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln für DBFS über die Azure CLI.
Wichtig
Key Vault muss sich im selben Azure-Mandanten wie Ihr Azure Databricks-Arbeitsbereich befinden.
Weitere Informationen zu kundenseitig verwalteten Schlüsseln für DBFS finden Sie unter Kundenseitig verwaltete Schlüssel für den DBFS-Stamm.
Installieren der Azure Databricks CLI-Erweiterung
Installieren Sie als Nächstes die Azure Databricks CLI-Erweiterung.
az extension add --name databricks
Vorbereiten eines neuen oder vorhandenen Azure Databricks-Arbeitsbereichs für die Verschlüsselung
Ersetzen Sie die Platzhalterwerte in den Klammern durch Ihre eigenen Werte. <workspace-name> ist der Ressourcenname, so wie im Azure-Portal dargestellt.
az login
az account set --subscription <subscription-id>
Vorbereiten der Verschlüsselung während der Erstellung des Arbeitsbereichs:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Vorbereiten eines vorhandenen Arbeitsbereichs für die Verschlüsselung:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Beachten Sie das Feld principalId im Abschnitt storageAccountIdentity der Befehlsausgabe. Sie geben ihn als Wert für die verwaltete Identität an, wenn Sie die Rollenzuweisung für Key Vault konfigurieren.
Weitere Informationen zu Azure CLI-Befehlen für Azure Databricks-Arbeitsbereiche finden Sie in der Befehlsreferenz zum Azure Databricks-Arbeitsbereich.
Erstellen eines in Azure Key Vault verwalteten HSM und eines HSM-Schlüssels
Sie können ein vorhandenes in Azure Key Vault verwaltetes HSM verwenden oder ein neues wie in Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe der Azure CLI beschrieben aktivieren. Für das in Azure Key Vault verwaltete HSM muss Löschschutz aktiviert sein.
Um einen HSM-Schlüssel zu erstellen, folgen Sie den Anweisungen unter Erstellen eines HSM-Schlüssels.
Konfigurieren der Rollenzuweisung für verwaltetes HSM
Konfigurieren Sie eine Rollenzuweisung für das in Key Vault verwaltete HSM, sodass Ihr Azure Databricks-Arbeitsbereich über die Zugriffsberechtigung verfügt. Ersetzen Sie die Platzhalterwerte in den Klammern durch Ihre eigenen Werte.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
Ersetzen Sie <managed-identity> durch den Wert principalId, den Sie sich notiert haben, als Sie Ihren Arbeitsbereich für die Verschlüsselung vorbereitet haben.
Konfigurieren der DBFS-Verschlüsselung mit kundenseitig verwalteten Schlüsseln
Konfigurieren Sie Ihren Azure Databricks-Arbeitsbereich so, dass der Schlüssel verwendet wird, den Sie in Ihrer Azure Key Vault-Instanz erstellt haben.
Ersetzen Sie die Platzhalterwerte durch eigene Werte.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Deaktivieren von vom Kunden verwalteten Schlüsseln
Wenn Sie kundenseitig verwaltete Schlüssel deaktivieren, wird Ihr Speicherkonto wieder mit von Microsoft verwalteten Schlüsseln verschlüsselt.
Ersetzen Sie die Platzhalterwerte in Klammern durch Ihre eigenen Werte, und verwenden Sie die in den vorherigen Schritten definierten Variablen.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default