Azure CLI kullanarak DBFS için HSM müşteri tarafından yönetilen anahtarları yapılandırma
Not
Bu özellik yalnızca Premium planda kullanılabilir.
Çalışma alanı depolama hesabını şifrelemek üzere kendi şifreleme anahtarınızı yapılandırmak için Azure CLI'yı kullanabilirsiniz. Bu makalede, Azure Key Vault Yönetilen HSM'den kendi anahtarınızı yapılandırma açıklanmaktadır. Azure Key Vault kasalarından anahtar kullanma yönergeleri için bkz . Azure CLI kullanarak DBFS için müşteri tarafından yönetilen anahtarları yapılandırma.
Önemli
Key Vault, Azure Databricks çalışma alanınızla aynı Azure kiracısında olmalıdır.
DBFS için müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz . DBFS kökü için müşteri tarafından yönetilen anahtarlar.
Azure Databricks CLI uzantısını yükleme
Azure CLI'yi yükleyin.
Azure Databricks CLI uzantısını yükleyin.
az extension add --name databricks
Şifreleme için yeni veya mevcut bir Azure Databricks çalışma alanını hazırlama
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin. <workspace-name>, Azure portalında görüntülenen kaynak adıdır.
az login
az account set --subscription <subscription-id>
Çalışma alanı oluşturma sırasında şifrelemeye hazırlanma:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Mevcut bir çalışma alanını şifreleme için hazırlama:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Komut çıktısının principalIdstorageAccountIdentity bölümündeki alana dikkat edin. Key Vault'unuzda rol atamasını yapılandırırken yönetilen kimlik değeri olarak bunu sağlayacaksınız.
Azure Databricks çalışma alanları için Azure CLI komutları hakkında daha fazla bilgi için az databricks workspace komut başvurusuna bakın.
Azure Key Vault Yönetilen HSM ve HSM anahtarı oluşturma
Mevcut bir Azure Key Vault Yönetilen HSM'sini kullanabilir veya hızlı başlangıcı izleyerek yeni bir HSM oluşturabilir ve etkinleştirebilirsiniz: Azure CLI kullanarak Yönetilen HSM sağlama ve etkinleştirme. Azure Key Vault Yönetilen HSM'nin Temizleme Koruması etkinleştirilmiş olmalıdır.
HSM anahtarı oluşturmak için HSM anahtarı oluşturma'yı izleyin.
Yönetilen HSM rol atamasını yapılandırma
Azure Databricks çalışma alanınızın erişim iznine sahip olması için Key Vault Yönetilen HSM için rol ataması yapılandırın. Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
değerini, çalışma alanınızı şifreleme için hazırlarken not ettiğiniz değerle principalId değiştirin<managed-identity>.
Müşteri tarafından yönetilen anahtarlarla DBFS şifrelemeyi yapılandırma
Azure Databricks çalışma alanınızı Azure Key Vault'unuzda oluşturduğunuz anahtarı kullanacak şekilde yapılandırın.
Yer tutucu değerlerini kendi değerlerinizle değiştirin.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Müşteri tarafından yönetilen anahtarları devre dışı bırakma
Müşteri tarafından yönetilen anahtarları devre dışı bırakırsanız depolama hesabınız bir kez daha Microsoft tarafından yönetilen anahtarlarla şifrelenir.
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin ve önceki adımlarda tanımlanan değişkenleri kullanın.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin