Azure CLI’yı kullanarak DBFS için müşteri tarafından yönetilen anahtarları yapılandırma
Not
Bu özellik yalnızca Premium planda kullanılabilir.
Çalışma alanı depolama hesabını şifrelemek üzere kendi şifreleme anahtarınızı yapılandırmak için Azure CLI'yı kullanabilirsiniz. Bu makalede Azure Key Vault kasalarından kendi anahtarınızı yapılandırma adımları açıklanmaktadır. Azure Key Vault Yönetilen HSM'den anahtar kullanma yönergeleri için bkz . Azure CLI kullanarak DBFS için HSM müşteri tarafından yönetilen anahtarları yapılandırma.
DBFS için müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için bkz . DBFS kökü için müşteri tarafından yönetilen anahtarlar.
Azure Databricks CLI uzantısını yükleme
Azure CLI'yi yükleyin.
Azure Databricks CLI uzantısını yükleyin.
az extension add --name databricks
Şifreleme için yeni veya mevcut bir Azure Databricks çalışma alanını hazırlama
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin. <workspace-name>, Azure portalında görüntülenen kaynak adıdır.
az login
az account set --subscription <subscription-id>
Çalışma alanı oluşturma sırasında şifrelemeye hazırlanma:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --prepare-encryption
Mevcut bir çalışma alanını şifreleme için hazırlama:
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --prepare-encryption
Komut çıktısının principalId storageAccountIdentity bölümündeki alana dikkat edin. Key Vault'unuzu yapılandırırken yönetilen kimlik değeri olarak bunu sağlayacaksınız.
Azure Databricks çalışma alanları için Azure CLI komutları hakkında daha fazla bilgi için az databricks workspace komut başvurusuna bakın.
Yeni Anahtar Kasası oluşturma
DBFS kökü için müşteri tarafından yönetilen anahtarları depolamak için kullandığınız Key Vault'ta geçici silme ve temizleme koruması olmak üzere iki anahtar koruma ayarı etkinleştirilmelidir. Bu ayarların etkinleştirildiği yeni bir Key Vault oluşturmak için aşağıdaki komutları çalıştırın.
Önemli
Key Vault, Azure Databricks çalışma alanınızla aynı Azure kiracısında olmalıdır.
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin.
az keyvault create \
--name <key-vault> \
--resource-group <resource-group> \
--location <region> \
--enable-soft-delete \
--enable-purge-protection
Azure CLI kullanarak Geçici Silme ve Temizleme Koruması'nı etkinleştirme hakkında daha fazla bilgi için bkz . CLI ile Key Vault geçici silmeyi kullanma.
Key Vault erişim ilkesini yapılandırma
Az keyvault set-policy komutunu kullanarak Azure Databricks çalışma alanının erişim iznine sahip olması için Key Vault için erişim ilkesini ayarlayın.
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin.
az keyvault set-policy \
--name <key-vault> \
--resource-group <resource-group> \
--object-id <managed-identity> \
--key-permissions get unwrapKey wrapKey
değerini, çalışma alanınızı şifreleme için hazırlarken not ettiğiniz değerle principalId değiştirin<managed-identity>.
Yeni anahtar oluşturma
az keyvault key create komutunu kullanarak Key Vault'ta bir anahtar oluşturun .
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin.
az keyvault key create \
--name <key> \
--vault-name <key-vault>
DBFS kök depolama, 2048, 3072 ve 4096 boyutlarında RSA ve RSA-HSM anahtarlarını destekler. Anahtarlar hakkında daha fazla bilgi için, bkz. Key Vault anahtarları hakkında.
Müşteri tarafından yönetilen anahtarlarla DBFS şifrelemeyi yapılandırma
Azure Databricks çalışma alanınızı Azure Key Vault'unuzda oluşturduğunuz anahtarı kullanacak şekilde yapılandırın.
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin.
key_vault_uri=$(az keyvault show \
--name <key-vault> \
--resource-group <resource-group> \
--query properties.vaultUri \
--output tsv)
key_version=$(az keyvault key list-versions \
--name <key> \ --vault-name <key-vault> \
--query [-1].kid \
--output tsv | cut -d '/' -f 6)
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Microsoft.KeyVault --key-name <key> --key-vault $key_vault_uri --key-version $key_version
Müşteri tarafından yönetilen anahtarları devre dışı bırakma
Müşteri tarafından yönetilen anahtarları devre dışı bırakırsanız depolama hesabınız bir kez daha Microsoft tarafından yönetilen anahtarlarla şifrelenir.
Köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirin ve önceki adımlarda tanımlanan değişkenleri kullanın.
az databricks workspace update --name <workspace-name> --resource-group <resource-group> --key-source Default