Felhasználó által kezelt kulcsok konfigurálása DBFS-hez a PowerShell használatával
Feljegyzés
Ez a funkció csak a Prémium csomagban érhető el.
A PowerShell használatával konfigurálhatja a saját titkosítási kulcsát a DBFS-gyökértárfiók titkosításához. Ez a cikk bemutatja, hogyan konfigurálhatja saját kulcsát az Azure Key Vault-tárolókból. Az Azure Key Vault által felügyelt HSM-ből származó kulcsok használatára vonatkozó utasításokért lásd : HSM ügyfél által felügyelt kulcsok konfigurálása a DBFS-hez a PowerShell használatával.
A DBFS ügyfél által felügyelt kulcsairól további információt a DBFS-gyökér ügyfél által felügyelt kulcsairól talál.
Az Azure Databricks PowerShell-modul telepítése
Új vagy meglévő Azure Databricks-munkaterület előkészítése titkosításhoz
Cserélje le a zárójelben lévő helyőrző értékeket a saját értékeire. Ez <workspace-name> az azure portalon megjelenített erőforrásnév.
Titkosítás előkészítése munkaterület létrehozásakor:
$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
Meglévő munkaterület előkészítése titkosításhoz:
$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Az Azure Databricks-munkaterületekhez készült PowerShell-parancsmagokról az Az.Databricks-referencia nyújt további információt.
Új kulcstartó létrehozása
Az ügyfél által felügyelt kulcsok alapértelmezett (gyökér)DBFS-hez való tárolásához használt Azure Key Vaultnak két kulcsvédelmi beállítással kell rendelkeznie, a helyreállítható törléssel és a törlési védelemmel.
Fontos
A Key Vaultnak ugyanabban az Azure-bérlőben kell lennie, mint az Azure Databricks-munkaterület.
A modul 2.0.0-s és újabb Az.KeyVault verzióiban az új Key Vault létrehozásakor alapértelmezés szerint engedélyezve van a helyreállítható törlés.
Az alábbi példa egy új Key Vaultot hoz létre, amelyen engedélyezve vannak a helyreállítható törlés és törlés elleni védelem tulajdonságai. Cserélje le a zárójelben lévő helyőrző értékeket a saját értékeire.
$keyVault = New-AzKeyVault -Name <key-vault> `
-ResourceGroupName <resource-group> `
-Location <location> `
-EnablePurgeProtection
Ha tudni szeretné, hogyan engedélyezheti a Helyreállítható törlés és törlés elleni védelmet egy meglévő Key Vaulton a PowerShell-lel, olvassa el a "Helyreállítható törlés engedélyezése" és a "Törlési védelem engedélyezése" című témakört a Key Vault helyreállítható törlésének PowerShell-lel való használatáról.
A Key Vault hozzáférési szabályzatának konfigurálása
Állítsa be a Key Vault hozzáférési szabályzatát, hogy az Azure Databricks-munkaterület hozzáféréssel rendelkezhessen a Set-AzKeyVaultAccessPolicy használatával.
Set-AzKeyVaultAccessPolicy `
-VaultName $keyVault.VaultName `
-ObjectId $workspace.StorageAccountIdentity.PrincipalId `
-PermissionsToKeys wrapkey,unwrapkey,get
Új kulcs létrehozása
Hozzon létre egy új kulcsot a Key Vaultban az Add-AzKeyVaultKey parancsmaggal. Cserélje le a zárójelben lévő helyőrző értékeket a saját értékeire.
$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'
A DBFS gyökértároló támogatja a 2048-es, 3072-es és 4096-os méretű RSA- és RSA-HSM-kulcsokat. További információ a kulcsokról: Tudnivalók a Key Vault-kulcsokról.
DBFS-titkosítás konfigurálása ügyfél által felügyelt kulcsokkal
Konfigurálja az Azure Databricks-munkaterületet az Azure Key Vaultban létrehozott kulcs használatára. Cserélje le a zárójelben lévő helyőrző értékeket a saját értékeire.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName $key.Name `
-EncryptionKeyVersion $key.Version `
-EncryptionKeyVaultUri $keyVault.VaultUri
Ügyfél által felügyelt kulcsok letiltása
Ha letiltja az ügyfél által kezelt kulcsokat, a tárfiók ismét Microsoft által felügyelt kulcsokkal lesz titkosítva.
Cserélje le a zárójelek helyőrző értékeit a saját értékeire, és használja az előző lépésekben definiált változókat.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default