Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Ta funkcja jest dostępna tylko w planie Premium.
Program PowerShell umożliwia skonfigurowanie własnego klucza szyfrowania w celu zaszyfrowania konta magazynu obszaru roboczego. W tym artykule opisano sposób konfigurowania własnego klucza z magazynów usługi Azure Key Vault. Aby uzyskać instrukcje dotyczące używania klucza z zarządzanego modułu HSM usługi Azure Key Vault, zobacz Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu programu PowerShell.
Aby uzyskać więcej informacji na temat kluczy zarządzanych przez klienta dla systemu plików DBFS, zobacz Klucze zarządzane przez klienta dla katalogu głównego systemu plików DBFS.
Instalowanie modułu programu PowerShell usługi Azure Databricks
- Zainstalowanie programu Azure PowerShell.
- Zainstaluj moduł Programu PowerShell usługi Azure Databricks.
Przygotowywanie nowego lub istniejącego obszaru roboczego usługi Azure Databricks do szyfrowania
Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami. Jest <workspace-name> to nazwa zasobu wyświetlana w witrynie Azure Portal.
Przygotowanie szyfrowania podczas tworzenia obszaru roboczego:
$workSpace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption
Przygotuj istniejący obszar roboczy do szyfrowania:
$workSpace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption
Aby uzyskać więcej informacji na temat poleceń cmdlet programu PowerShell dla obszarów roboczych usługi Azure Databricks, zobacz dokumentację modułu Az.Databricks.
Utwórz nowy magazyn kluczy
Usługa Azure Key Vault używana do przechowywania kluczy zarządzanych przez klienta dla domyślnego systemu plików DBFS (root) musi mieć włączone dwa ustawienia ochrony kluczy, usuwanie nietrwałe i ochronę przed przeczyszczeniem.
Ważne
Magazyn kluczy musi znajdować się w tej samej dzierżawie platformy Azure co obszar roboczy usługi Azure Databricks.
W wersji 2.0.0 lub nowszej modułu Az.KeyVault funkcja "soft delete" jest domyślnie włączona podczas tworzenia nowej skrytki kluczy.
Poniższy przykład tworzy nowy magazyn kluczy z włączonymi właściwościami usuwania miękkiego i ochrony przed trwałym usunięciem. Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami.
$keyVault = New-AzKeyVault -Name <key-vault> `
-ResourceGroupName <resource-group> `
-Location <location> `
-EnablePurgeProtection
Aby dowiedzieć się, jak włączyć miękkie usuwanie i ochronę przed usunięciem w istniejącej skrytce kluczy przy użyciu PowerShell, zobacz Zarządzanie odzyskiwaniem usługi Azure Key Vault przy użyciu funkcji miękkiego usuwania i ochrony przed usunięciem.
Udzielanie kontu magazynu obszaru roboczego dostępu do magazynu kluczy
Nadaj rolę użytkownika szyfrowania usługi Key Vault tożsamości konta magazynu w obszarze roboczym do magazynu kluczy.
New-AzKeyVaultRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" -ObjectId $workspace.StorageAccountIdentity.PrincipalId
Uwaga
Jeśli magazyn kluczy używa zasad dostępu zamiast kontroli dostępu na podstawie ról, użyj następującego polecenia:
Set-AzKeyVaultAccessPolicy `
-VaultName $keyVault.VaultName `
-ObjectId $workspace.StorageAccountIdentity.PrincipalId `
-PermissionsToKeys wrapkey,unwrapkey,get
Tworzenie nowego klucza
Utwórz nowy klucz w magazynie kluczy za pomocą cmdletu Add-AzKeyVaultKey. Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami.
$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName -Name <key> -Destination 'Software'
Magazyn główny DBFS obsługuje klucze RSA i RSA-HSM o rozmiarach 2048, 3072 i 4096. Aby uzyskać więcej informacji na temat kluczy, zobacz Informacje o kluczach magazynu kluczy).
Konfigurowanie szyfrowania DBFS przy użyciu kluczy zarządzanych przez klienta
Skonfiguruj obszar roboczy usługi Azure Databricks pod kątem użycia klucza utworzonego w usłudze Azure Key Vault. Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami.
Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
-Name <workspace-name>
-EncryptionKeySource Microsoft.Keyvault `
-EncryptionKeyName $key.Name `
-EncryptionKeyVersion $key.Version `
-EncryptionKeyVaultUri $keyVault.VaultUri
Wyłączanie kluczy zarządzanych przez klienta
Po wyłączeniu kluczy zarządzanych przez klienta konto magazynu jest ponownie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.
Zastąp wartości symboli zastępczych w nawiasach własnymi wartościami i użyj zmiennych zdefiniowanych w poprzednich krokach.
Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default