Partager via


Configurer les clés gérées par le client HSM pour DBFS à l'aide de PowerShell

Remarque

Cette fonctionnalité est disponible uniquement dans le plan Premium.

Vous pouvez utiliser PowerShell pour configurer votre propre clé de chiffrement afin de chiffrer le compte de stockage de l’espace de travail. Cet article explique comment configurer votre propre clé à partir des HSM managés Azure Key Vault. Pour obtenir des instructions sur l’utilisation d’une clé des coffres Azure Key Vault, consultez Configurer les clés managées par le client pour les DBFS à l’aide de PowerShell.

Important

Key Vault doit être dans le même locataire Azure que votre espace de travail Azure Databricks.

Pour plus d’informations sur les clés gérées par le client pour DBFS, consultez Clés gérées par le client pour la racine DBFS.

Installer le module PowerShell Azure Databricks

  1. Installez Azure PowerShell.
  2. Installez le module PowerShell Azure Databricks.

Préparer un espace de travail Azure Databricks nouveau ou existant pour le chiffrement

Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs. La valeur <workspace-name> est le nom de ressource tel qu’affiché dans le portail Azure.

Préparez le chiffrement lors de la création d’un espace de travail :

$workspace = New-AzDatabricksWorkspace -Name <workspace-name> -Location <workspace-location> -ResourceGroupName <resource-group> -Sku premium -PrepareEncryption

Préparez un espace de travail existant pour le chiffrement :

$workspace = Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -PrepareEncryption

Pour plus d’informations sur les applets de commande PowerShell pour les espaces de travail Azure Databricks, consultez les informations de référence sur Az.Databricks.

Créer un HSM managé Azure Key Vault et une clé HSM

Vous pouvez utiliser un HSM managé Azure Key Vault existant ou en créer et activer un nouveau à l’aide du Guide de démarrage rapide : provisionner et activer un HSM managé à l’aide de PowerShell. Le HSM managé Azure Key Vault doit avoir la protection contre la purge activée.

Pour créer une clé HSM, suivez Créer une clé HSM.

Configurez l'attribution du rôle HSM géré

Configurez une attribution de rôle pour le HSM managé Key Vault afin que votre espace de travail Azure Databricks soit autorisé à y accéder. Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs.

New-AzKeyVaultRoleAssignment -HsmName <hsm-name> `
    -RoleDefinitionName "Managed HSM Crypto Service Encryption User" `
    -ObjectId $workspace.StorageAccountIdentityPrincipalId

Configurer le chiffrement DBFS avec des clés gérées par le client

Configurez votre espace de travail Azure Databricks pour utiliser la clé que vous avez créée dans votre coffre de clés Azure. Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs.

Update-AzDatabricksWorkspace -ResourceGroupName <resource-group> `
    -Name <workspace-name>
    -EncryptionKeySource Microsoft.Keyvault `
    -EncryptionKeyName <key-name> `
    -EncryptionKeyVersion <key-version> `
    -EncryptionKeyVaultUri <hsm-uri>

Désactiver les clés gérées par le client

Quand vous désactivez les clés gérées par le client, votre compte de stockage est de nouveau chiffré avec des clés gérées par Microsoft.

Remplacez les valeurs d’espace réservé entre crochets par vos propres valeurs et utilisez les variables définies dans les étapes précédentes.

Update-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> -EncryptionKeySource Default