ワークスペース ストレージ アカウントのファイアウォール サポート用の ARM テンプレート
この記事では、ワークスペース ストレージ アカウントのファイアウォール サポートのための ARM テンプレートを提供し、必須フィールドについて説明します。 ワークスペース ストレージ アカウントのファイアウォール サポートは、ARM テンプレートのプロパティ storageAccountFirewall によって制御され、これを Enabled に設定する必要があります。
コンプライアンス セキュリティ プロファイルの有効化など、ワークスペースの特定の構成のためには、別の ARM テンプレートが必要になる場合があります。 その場合は、Databricks アカウント チームにお問い合わせください。
Terraform を使用してワークスペースを更新または作成することもできます。 「azurerm_databricks_workspace Terraform プロバイダー」を参照してください。
ARM テンプレートのフィールド
次の表は、後で示すワークスペース ストレージ アカウントのファイアウォール サポート用 ARM テンプレートのフィールドの一覧とその説明です。
| フィールド | 説明 |
|---|---|
| サブスクリプション | 使用する Azure サブスクリプション。 |
| リソース グループ | 使用するリソース グループ。 これは通常、VNet のリソース グループです。 |
| ワークスペース名 | ワークスペースの名前です。 既存のワークスペースを使っている場合、これは既存のワークスペース名と正確に一致している必要があります。 |
| マネージド リソース グループ名 | ワークスペースのマネージド リソース グループ。 これにより、フォームに既定の名前が自動的に設定されます。 組織でマネージド リソース グループ名をカスタマイズする場合は、変更します。 |
| ストレージ アカウント名 | マネージド リソース グループ内の Azure ワークスペース ストレージ アカウント。 これにより、フォームに既定の名前が自動的に設定されます。 組織でマネージド リソース グループ名をカスタマイズする場合は、変更します。 |
| ワークスペース VNet ネットワーク ID | VNet のリソース ID。 既存のワークスペースの場合は、Azure portal でワークスペースに移動してこれを取得できます。 [プロパティ] をクリックします。 [カスタム仮想ネットワーク ID] で [JSON として値を表示する] をクリックします。 value フィールドにリソース ID をコピーします。 |
| カスタム プライベート サブネット名 | VNet のプライベート サブネット。 既存のワークスペースの場合は、Azure portal でワークスペースに移動してこれを取得できます。 [プロパティ] をクリックします。 [カスタム プライベート サブネット] で、[JSON として値を表示する] を選択します。 [value] フィールドのサブネット名をコピーします。 |
| カスタム パブリック サブネット名 | VNet のパブリック サブネット。 既存のワークスペースの場合は、Azure portal でワークスペースに移動してこれを取得できます。 [プロパティ] をクリックします。 [カスタム パブリック サブネット] で、[JSON として値を表示する] を選択します。 [value] フィールドのサブネット名をコピーします。 |
| 場所 | メインの [リージョン] フィールドと一致するように自動的に設定される Azure リージョンの短い名前。 |
| アクセス コネクタ名 | 一般的なデプロイでは、このフィールドを変更しないでください。 Azure Databricks によって新しいアクセス コネクタが作成されます。 |
| マネージド ID の種類 | 一般的なデプロイでは、このフィールドを変更しないでください。 |
| ユーザー マネージド ID リソース ID | 一般的なデプロイでは、このフィールドを変更しないでください。 |
| ストレージ アカウント ファイアウォール | ワークスペース ストレージ アカウントのファイアウォール サポートを有効にするかどうかを指定します。 |
| パブリック IP の無効化 | これは、true に設定する必要があります。 これは、セキュリティで保護されたクラスター接続を有効にし、ワークスペース ストレージ アカウントのファイアウォール サポートの場合は必要です。 |
| パブリック ネットワーク アクセス | 通常、これは Enabled に設定します。 Private Link を有効にする場合、使用する設定については、「Azure Private Link のバックエンド接続とフロントエンド接続を有効にする」をご覧ください。 |
| 必須の NSG ルール | 通常、これは AllRules に設定します。 Private Link を有効にする場合、使用する設定については、「Azure Private Link のバックエンド接続とフロントエンド接続を有効にする」をご覧ください。 |
| カスタマー マネージド キーの有効化 | マネージド サービスまたはマネージド ディスクにカスタマー マネージド キーを使う場合は、これを true に設定します。 「暗号化用のカスタマー マネージド キー」を参照してください。 |
| カスタマー マネージド キーの種類 | カスタマー マネージド キーを有効にする場合は、このワークスペースのカスタマー マネージド キーの種類を選びます。 Managed Services、ManagedDisks、または Both を選びます。 |
| マネージド サービス キー コンテナー キー ID | マネージド サービスにカスタマー マネージド キーを使う場合は、キー コンテナーのキー ID を指定します。 |
| マネージド ディスク キー コンテナー キー ID | マネージド ディスクにカスタマー マネージド キーを使う場合は、キー コンテナーのキー ID を指定します。 |
| マネージド ディスク自動ローテーション | マネージド ディスクにカスタマー マネージド キーを使う場合は、新しいキー バージョンを自動的に取得するかどうかを指定します。 |
ワークスペース ストレージ アカウントのファイアウォール サポート用の ARM テンプレート
ワークスペース ストレージ アカウントのファイアウォール サポートを有効または無効にするには、次の ARM テンプレートをコピーしてください。 サンプルの ARM テンプレートをデプロイすることもできます。
- ユーザー割り当てマネージド ID を使用した、ワークスペース ストレージ ファイアウォール用の Azure Databricks テンプレート。
- システム割り当てマネージド ID を使用した、ワークスペース ストレージ ファイアウォール用の Azure Databricks テンプレート
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "String",
"metadata": {
"description": "The name of the Azure Databricks workspace to update."
}
},
"location": {
"defaultValue": "[resourceGroup().location]",
"type": "String",
"metadata": {
"description": "Location for all resources."
}
},
"managedResourceGroupName": {
"defaultValue": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"type": "String",
"metadata": {
"description": "The Managed Resource GroupName of the workspace. Do not change unless using a custom managed resource group name."
}
},
"storageAccountName": {
"defaultValue": "[concat('dbstorage', uniqueString(resourceGroup().id, subscription().id))]",
"type": "String",
"metadata": {
"description": "Workspace storage account name. Do not change unless using a custom storage account name."
}
},
"workspaceVnetResourceId": {
"defaultValue": "Required Resource ID of the workspace VNet",
"type": "String",
"metadata": {
"description": "The Resource ID of the injected VNet for the workspace"
}
},
"workspacePrivateSubnetName": {
"defaultValue": "private-subnet",
"type": "String",
"metadata": {
"description": "The private subnet name for the workspace"
}
},
"workspacePublicSubnetName": {
"defaultValue": "public-subnet",
"type": "String",
"metadata": {
"description": "The public subnet name for the workspace"
}
},
"accessConnectorName": {
"defaultValue": "[format('{0}-access-connector', parameters('workspaceName'))]",
"type": "String",
"metadata": {
"description": "The access connector to create for the workspace"
}
},
"ManagedIdentityType": {
"defaultValue": "SystemAssigned",
"allowedValues": [
"SystemAssigned",
"UserAssigned",
"SystemAssigned,UserAssigned"
],
"type": "String",
"metadata": {
"description": "Access Connector Managed Identity Type"
}
},
"userManagedIdentityResourceId": {
"defaultValue": "Required For User Mananged Identity",
"type": "String",
"metadata": {
"description": "The Resource Id of the User Managed Identity"
}
},
"storageAccountFirewall": {
"defaultValue": "Enabled",
"allowedValues": [
"Enabled",
"Disabled"
],
"type": "String",
"metadata": {
"description": "Enable or Disable firewall support for workspace default storage feature"
}
},
"disablePublicIp": {
"defaultValue": true,
"type": "Bool",
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (SCC) enabled or not (No Public IP)."
}
},
"publicNetworkAccess": {
"defaultValue": "Enabled",
"allowedValues": [
"Enabled",
"Disabled"
],
"type": "String",
"metadata": {
"description": "Indicates whether public network access is allowed to the workspace with private endpoint - possible values are Enabled or Disabled."
}
},
"requiredNsgRules": {
"defaultValue": "AllRules",
"allowedValues": [
"AllRules",
"NoAzureDatabricksRules"
],
"type": "String",
"metadata": {
"description": "Indicates whether to retain or remove the AzureDatabricks outbound NSG rule - possible values are AllRules, NoAzureDatabricksRules (private link)."
}
},
"storageDoubleEncryption": {
"defaultValue": false,
"type": "Bool",
"metadata": {
"description": "Is double encryption for managed storage enabled ?"
}
},
"customerManagedKeysEnabled": {
"defaultValue": false,
"type": "Bool",
"metadata": {
"description": "Is CMK for managed services enabled ?"
}
},
"CustomerManagedKeyType": {
"defaultValue": "ManagedServicesCMK",
"allowedValues": [
"ManagedServicesCMK",
"ManagedDisksCMK",
"BothCMK"
],
"type": "String",
"metadata": {
"description": "Selects the CMK types for this workspace, Managed Services and/or Disks, Workspace storage account is not enabled here"
}
},
"ManagedSrvcKeyVaultKeyId": {
"defaultValue": "https://kv-url/keys/keyname/version",
"type": "String",
"metadata": {
"description": "The Key Vault Key ID"
}
},
"ManagedDiskKeyVaultKeyId": {
"defaultValue": "https://kv-url/keys/keyname/version",
"type": "String",
"metadata": {
"description": "The Key Vault Key ID"
}
},
"ManagedDiskAutoRotation": {
"type": "bool",
"defaultValue": false,
"allowedValues": [
true,
false
],
"metadata": {
"description": "Whether managed disk will pick up new key version automatically."
}
}
},
"variables": {
"ApiVersion": "2024-05-01",
"workspaceSku": "premium",
"systemAssignedObject": {
"type": "[parameters('ManagedIdentityType')]"
},
"userAssignedObject": {
"type": "[parameters('ManagedIdentityType')]",
"userAssignedIdentities": {
"[parameters('userManagedIdentityResourceId')]": {}
}
},
"ConnectorSystemAssigned": {
"id": "[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]",
"identityType": "[parameters('ManagedIdentityType')]"
},
"connectorUserAssigned": {
"id": "[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]",
"identityType": "[parameters('ManagedIdentityType')]",
"userAssignedIdentityId": "[parameters('userManagedIdentityResourceId')]"
},
"managedSrvcFirst" : "[split(parameters('ManagedSrvcKeyVaultKeyId'),'/keys/')]",
"managedSrvcSecond" : "[split(variables('managedSrvcFirst')[1],'/')]",
"managedDiskFirst" : "[split(parameters('ManagedDiskKeyVaultKeyId'),'/keys/')]",
"managedDiskSecond" : "[split(variables('managedDiskFirst')[1],'/')]",
"ManagedServicesCMK": {
"managedServices": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedSrvcFirst')[0]]",
"keyName": "[variables('managedSrvcSecond')[0]]",
"keyVersion": "[variables('managedSrvcSecond')[1]]"
}
}
},
"ManagedDisksCMK": {
"managedDisk": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedDiskFirst')[0]]",
"keyName": "[variables('managedDiskSecond')[0]]",
"keyVersion": "[variables('managedDiskSecond')[1]]"
},
"rotationToLatestKeyVersionEnabled": "[parameters('ManagedDiskAutoRotation')]"
}
},
"BothCMK": {
"managedServices": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedSrvcFirst')[0]]",
"keyName": "[variables('managedSrvcSecond')[0]]",
"keyVersion": "[variables('managedSrvcSecond')[1]]"
}
},
"managedDisk": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[variables('managedDiskFirst')[0]]",
"keyName": "[variables('managedDiskSecond')[0]]",
"keyVersion": "[variables('managedDiskSecond')[1]]"
},
"rotationToLatestKeyVersionEnabled": "[parameters('ManagedDiskAutoRotation')]"
}
}
},
"resources": [
{
"type": "Microsoft.Databricks/accessConnectors",
"apiVersion": "2023-05-01",
"name": "[parameters('accessConnectorName')]",
"location": "[parameters('location')]",
"identity": "[if(equals(parameters('ManagedIdentityType'),'SystemAssigned'),variables('systemAssignedObject'),variables('userAssignedObject'))]",
"properties": {}
},
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "[variables('ApiVersion')]",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]"
],
"sku": {
"name": "[variables('workspaceSku')]"
},
"properties": {
"managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', parameters('managedResourceGroupName'))]",
"publicNetworkAccess": "[parameters('publicNetworkAccess')]",
"requiredNsgRules": "[parameters('requiredNsgRules')]",
"accessConnector": "[if(equals(parameters('ManagedIdentityType'),'SystemAssigned'),variables('ConnectorSystemAssigned'),variables('connectorUserAssigned'))]",
"defaultStorageFirewall": "[parameters('storageAccountFirewall')]",
"parameters": {
"customVirtualNetworkId": {
"value": "[parameters('workspaceVnetResourceId')]"
},
"customPrivateSubnetName": {
"value": "[parameters('workspacePrivateSubnetName')]"
},
"customPublicSubnetName": {
"value": "[parameters('workspacePublicSubnetName')]"
},
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
},
"storageAccountName": {
"value": "[parameters('storageAccountName')]"
},
"requireInfrastructureEncryption": {
"value": "[parameters('storageDoubleEncryption')]"
}
}
},
"condition": "[not(parameters('customerManagedKeysEnabled'))]"
},
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "[variables('ApiVersion')]",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[resourceId('Microsoft.Databricks/accessConnectors', parameters('accessConnectorName'))]"
],
"sku": {
"name": "[variables('workspaceSku')]"
},
"properties": {
"managedResourceGroupId": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', parameters('managedResourceGroupName'))]",
"publicNetworkAccess": "[parameters('publicNetworkAccess')]",
"requiredNsgRules": "[parameters('requiredNsgRules')]",
"accessConnector": "[if(equals(parameters('ManagedIdentityType'),'SystemAssigned'),variables('ConnectorSystemAssigned'),variables('connectorUserAssigned'))]",
"encryption": {
"entities": "[variables(parameters('CustomerManagedKeyType'))]"
},
"defaultStorageFirewall": "[parameters('storageAccountFirewall')]",
"parameters": {
"customVirtualNetworkId": {
"value": "[parameters('workspaceVnetResourceId')]"
},
"customPrivateSubnetName": {
"value": "[parameters('workspacePrivateSubnetName')]"
},
"customPublicSubnetName": {
"value": "[parameters('workspacePublicSubnetName')]"
},
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
},
"storageAccountName": {
"value": "[parameters('storageAccountName')]"
},
"requireInfrastructureEncryption": {
"value": "[parameters('storageDoubleEncryption')]"
}
}
},
"condition": "[parameters('customerManagedKeysEnabled')]"
}
]
}