Share via

Configurer des clés gérées par le client pour DBFS à l’aide de PowerShell

  • Article

Notes

Cette fonctionnalité est disponible uniquement dans le plan Premium.

Vous pouvez utiliser PowerShell pour configurer votre propre clé de chiffrement afin de chiffrer le compte de stockage DBFS. Cet article explique comment configurer votre propre clé à partir des coffres Azure Key Vault. Pour obtenir des instructions sur l'utilisation d'une clé à partir d'Azure Key Vault Managed HSM, consultez Configurer les clés gérées par le client HSM pour DBFS à l'aide de PowerShell.

Pour plus d'informations sur les clés gérées par le client pour DBFS, consultez Clés gérées par le client pour la racine DBFS.

Installer le module PowerShell Azure Databricks

  1. Installez Azure PowerShell.
  2. Installez le module PowerShell Azure Databricks.

Préparer un espace de travail Azure Databricks nouveau ou existant pour le chiffrement

Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs. La valeur <workspace-name> est le nom de ressource tel qu’affiché dans le portail Azure.

Préparez le chiffrement lors de la création d’un espace de travail :

$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Préparez un espace de travail existant pour le chiffrement :

$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Pour plus d’informations sur les applets de commande PowerShell pour les espaces de travail Azure Databricks, consultez les informations de référence sur Az.Databricks.

Créer un coffre de clés

Le Azure Key Vault que vous utilisez pour stocker des clés gérées par le client pour le système DBFS (racine) par défaut doit disposer de deux paramètres de protection de clés, Suppression réversible et Protection de purge.

Important

Key Vault doit être dans le même locataire Azure que votre espace de travail Azure Databricks.

Dans les versions 2.0.0 et ultérieures du Az.KeyVaultmodule , la suppression réversible est activée par défaut lorsque vous créez un coffre de clés.

L’exemple suivant crée un coffre de clés avec les propriétés Suppression réversible et Protection de la suppression activées. Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs.

$keyVault = New-AzKeyVault -Name <key-vault> `
     -ResourceGroupName <resource-group> `
     -Location <location> `
     -EnablePurgeProtection

Pour savoir comment activer les options Suppression réversible et Protection de la suppression sur un coffre de clés existant avec PowerShell, consultez « Activation de la suppression réversible » et « Activation de la protection de la suppression » dans le Guide pratique pour utiliser la suppression réversible Key Vault avec Azure Power​Shell.

Configurer la stratégie d’accès au coffre de clés

Définissez la stratégie d’accès pour le coffre de clés afin que l’espace de travail Azure Databricks soit autorisé à y accéder, à l’aide de Set-AzKeyVaultAccessPolicy.

Set-AzKeyVaultAccessPolicy `
      -VaultName $keyVault.VaultName `
      -ObjectId $workspace.StorageAccountIdentity.PrincipalId `
      -PermissionsToKeys wrapkey,unwrapkey,get

Créer une clé

Créez une clé dans le coffre de clés à l’aide de l’applet de commande Add-AzKeyVaultKey. Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

Le stockage racine DBFS prend en charge les clés RSA et RSA-HSM de taille 2048, 3072 et 4096. Pour plus d’informations sur les clés, consultez À propos des clés Key Vault.

Configurer le chiffrement DBFS avec des clés gérées par le client

Configurez votre espace de travail Azure Databricks pour utiliser la clé que vous avez créée dans votre coffre de clés Azure. Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
      -Name <workspace-name>
     -EncryptionKeySource Microsoft.Keyvault `
     -EncryptionKeyName $key.Name `
     -EncryptionKeyVersion $key.Version `
     -EncryptionKeyVaultUri $keyVault.VaultUri

Désactiver les clés gérées par le client

Quand vous désactivez les clés gérées par le client, votre compte de stockage est de nouveau chiffré avec des clés gérées par Microsoft.

Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs et utilisez les variables définies dans les étapes précédentes.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default