Configurare chiavi gestite dal cliente del modulo di protezione hardware per DBFS usando l'interfaccia della riga di comando di Azure
Nota
Questa funzionalità è disponibile solo nel piano Premium.
È possibile usare l'interfaccia della riga di comando di Azure per configurare la propria chiave di crittografia per crittografare l'account di archiviazione dell'area di lavoro. Questo articolo descrive come configurare la propria chiave dal modulo di protezione hardware gestito di Azure Key Vault. Per istruzioni sull'uso di una chiave da insiemi di credenziali di Azure Key Vault, vedere Configurare chiavi gestite dal cliente per DBFS usando l'interfaccia della riga di comando di Azure.
Importante
L'area di lavoro di Azure Databricks e Azure Key Vault devono trovarsi nella stessa area e nello stesso tenant di Microsoft Entra.
Per altre informazioni sulle chiavi gestite dal cliente per DBFS, vedere Chiavi gestite dal cliente per la radice DBFS.
Installare l'estensione dell'interfaccia della riga di comando di Azure Databricks
Installare l'estensione dell'interfaccia della riga di comando di Azure Databricks.
az extension add --name databricks
Preparare un'area di lavoro di Azure Databricks nuova o esistente per la crittografia
Sostituire il segnaposto values tra parentesi con il proprio values.
<workspace-name>
è il nome della risorsa visualizzato nella portale di Azure.
az login
az account set --subscription <subscription-id>
Preparare la crittografia durante la creazione dell'area di lavoro:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Preparare un'area di lavoro esistente per la crittografia:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Si noti il principalId
campo nella storageAccountIdentity
sezione dell'output del comando. Verrà fornito come valore dell'identità gestita quando si configura l'assegnazione di ruolo nell'insieme di credenziali delle chiavi.
Per altre informazioni sui comandi dell'interfaccia della riga di comando di Azure per le aree di lavoro di Azure Databricks, vedere le informazioni di riferimento sui comandi az databricks workspace.
Creare un modulo di protezione hardware gestito di Azure Key Vault e una chiave HSM
È possibile usare un modulo di protezione hardware gestito di Azure Key Vault esistente o crearne uno nuovo e attivarne uno nuovo : Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando l'interfaccia della riga di comando di Azure. Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva.
Per creare una chiave HSM, seguire le istruzioni contenute in Creare una chiave HSM.
Configurare l'assegnazione di ruolo modulo di protezione hardware gestito
Configurare un'assegnazione di ruolo per il modulo di protezione hardware gestito di Key Vault in modo che l'area di lavoro di Azure Databricks disponga dell'autorizzazione per accedervi. Sostituisci il segnaposto values tra parentesi quadre con il tuo values.
az keyvault role assignment create \
--role "Managed HSM Crypto Service Encryption User" \
--scope "/" \
--hsm-name <hsm-name> \
--assignee-object-id <managed-identity>
Sostituire <managed-identity>
con il valore annotato quando è stata preparata l'area principalId
di lavoro per la crittografia.
Configurare la crittografia DBFS con chiavi gestite dal cliente
Configurare l'area di lavoro di Azure Databricks per usare la chiave creata nell'insieme di credenziali delle chiavi di Azure.
Sostituisci il segnaposto values con il tuo values.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault <hsm-uri> --key-version <key-version>
Disabilitare le chiavi gestite dal cliente
Quando si disabilitano le chiavi gestite dal cliente, l'account di archiviazione viene nuovamente crittografato con chiavi gestite da Microsoft.
Sostituire il segnaposto values tra parentesi quadre con il proprio values e usare le variabili definite nei passaggi precedenti.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default