PowerShell을 사용하여 DBFS에 대한 고객 관리형 키 구성

아티클
03/01/2024

참고 항목

이 기능은 프리미엄 플랜에서만 사용할 수 있습니다.

PowerShell을 사용하여 DBFS 루트 스토리지 계정을 암호화하도록 자체 암호화 키를 구성할 수 있습니다. 이 문서에서는 Azure Key Vault 자격 증명 모음에서 사용자 고유의 키를 구성하는 방법을 설명합니다. Azure Key Vault 관리형 HSM에서 키를 사용하는 방법에 대한 지침은 PowerShell을 사용하여 DBFS에 대한 HSM 고객 관리형 키 구성을 참조하세요.

DBFS에 대한 고객 관리형 키에 대한 자세한 내용은 DBFS 루트에 대한 고객 관리형 키를 참조하세요.

Azure Databricks PowerShell 모듈 설치

Azure PowerShell을 설치합니다.
Azure Databricks PowerShell 모듈을 설치합니다.

암호화를 위해 신규 또는 기존 Azure Databricks 작업 영역 준비

대괄호로 묶인 자리 표시자 값을 사용자 고유의 값으로 바꿉니다. <workspace-name>은(는) Azure Portal에 표시되는 리소스 이름입니다.

작업 영역을 만들 때 암호화 준비:

$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

암호화를 위해 기존 작업 영역 준비:

$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Azure Databricks 작업 영역용 PowerShell cmdlet에 대한 자세한 내용은 Az.Databricks 참조를 참조하세요.

새 Key Vault 만들기

기본(루트) DBFS에 대한 고객 관리형 키를 저장하는 데 사용하는 Azure Key Vault에는 일시 삭제 및 제거 보호라는 두 가지 키 보호 설정이 활성화되어 있어야 합니다.

Important

Key Vault는 Azure Databricks 작업 영역과 동일한 Azure 테넌트에 있어야 합니다.

모듈 버전 Az.KeyVault 2.0.0 이상에서는 새 Key Vault를 만들 때 기본적으로 일시 삭제가 사용하도록 설정됩니다.

다음 예제에서는 일시 삭제 및 제거 보호 속성을 사용하도록 설정된 새 Key Vault를 만듭니다. 대괄호로 묶인 자리 표시자 값을 사용자 고유의 값으로 바꿉니다.

$keyVault = New-AzKeyVault -Name <key-vault> `
     -ResourceGroupName <resource-group> `
     -Location <location> `
     -EnablePurgeProtection

PowerShell을 사용하여 기존 Key Vault에서 일시 삭제 및 제거 보호를 사용하도록 설정하는 방법을 알아보려면 PowerShell에서 Key Vault 일시 삭제를 사용하는 방법에서 "일시 삭제 사용" 및 "제거 보호 사용"을 참조하세요.

Key Vault 액세스 정책 구성

Set-AzKeyVaultAccessPolicy를 사용하여 Azure Databricks 작업 영역에 액세스할 수 있는 권한이 있도록 Key Vault에 대한 액세스 정책을 설정합니다.

Set-AzKeyVaultAccessPolicy `
      -VaultName $keyVault.VaultName `
      -ObjectId $workspace.StorageAccountIdentity.PrincipalId `
      -PermissionsToKeys wrapkey,unwrapkey,get

새 키 만들기

Add-AzKeyVaultKey cmdlet을 사용하여 Key Vault에 새 키를 만듭니다. 대괄호로 묶인 자리 표시자 값을 사용자 고유의 값으로 바꿉니다.

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'

DBFS 루트 스토리지는 2048, 3072, 4096 크기의 RSA 및 RSA-HSM 키를 지원합니다. 키에 관한 자세한 내용은 Key Vault 키 정보를 참조하세요.

고객 관리형 키로 DBFS 암호화 구성

Azure Key Vault에서 만든 키를 사용하도록 Azure Databricks 작업 영역을 구성합니다. 대괄호로 묶인 자리 표시자 값을 사용자 고유의 값으로 바꿉니다.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
      -Name <workspace-name>
     -EncryptionKeySource Microsoft.Keyvault `
     -EncryptionKeyName $key.Name `
     -EncryptionKeyVersion $key.Version `
     -EncryptionKeyVaultUri $keyVault.VaultUri

고객 관리형 키 사용 안 함

고객 관리형 키를 사용하지 않도록 설정하면 스토리지 계정이 Microsoft 관리형 키로 다시 한 번 암호화됩니다.

대괄호 안의 자리 표시자 값을 사용자 고유의 값으로 바꾸고 위의 단계에서 정의된 변수를 사용합니다.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default