참고 항목
이 기능은 프리미엄 플랜에서만 사용할 수 있습니다.
Azure Portal을 사용하여 작업 영역 스토리지 계정을 암호화하도록 사용자 고유의 암호화 키를 구성할 수 있습니다. 이 문서에서는 Azure Key Vault 자격 증명 모음에서 사용자 고유의 키를 구성하는 방법을 설명합니다. Azure Key Vault 관리형 HSM에서 키를 사용하는 방법에 대한 지침은 Azure Portal을 사용하여 DBFS에 대한 HSM 고객 관리형 키 구성을 참조 하세요.
DBFS에 대한 고객 관리형 키에 대한 자세한 내용은 DBFS 루트에 대한 고객 관리형 키를 참조하세요.
Azure Key Vault에서 키 만들기
이 섹션에서는 Azure Key Vault에서 키를 만드는 방법을 설명합니다. 작업 영역과 동일한 Microsoft Entra ID 테넌트에 있는 키 자격 증명 모음을 사용해야 합니다.
동일한 지역에 기존 키 보관소가 있는 경우 첫 번째 단계를 건너뛸 수 있습니다. 그러나 Azure Portal을 사용하여 DBFS 루트 암호화에 고객 관리형 키를 할당하는 경우 시스템은 키 자격 증명 모음에 대해 기본적으로 일시 삭제 및 제거 안 함 속성을 사용하도록 설정합니다. 이러한 속성에 대한 자세한 내용은 Azure Key Vault 일시 삭제 개요를 참조하세요.
빠른 시작의 지침에 따라 키 자격 증명 모음을 만듭니다 . Azure Portal을 사용하여 Azure Key Vault에서 키를 설정하고 검색합니다.
Azure Databricks 작업 영역과 키 자격 증명 모음은 동일한 지역 및 동일한 Microsoft Entra ID 테넌트에 있어야 하지만 서로 다른 구독에 있을 수 있습니다.
빠른 시작의 지침을 계속 따라 키 자격 증명 모음에서 키를 생성하세요.
DBFS 루트 스토리지는 2048, 3072, 4096 크기의 RSA 및 RSA-HSM 키를 지원합니다. 키에 대한 자세한 내용은 Azure Key Vault 키 정보를 참조하세요.
키가 만들어지면 키 식별자를 복사하여 텍스트 편집기에 붙여넣습니다. Azure Databricks에 대한 키를 구성할 때 필요합니다.
키를 사용하여 작업 영역 스토리지 계정 암호화
Azure Key Vault에 대한 Key Vault 기여자 역할이 있어야 합니다.
Azure Portal에서 Azure Databricks 서비스 리소스로 이동합니다.
왼쪽 메뉴의 설정에서 암호화를 선택합니다.
사용자 고유의 키 사용을 선택하고, 키의 키 식별자를 입력하고, 키가 포함된 구독을 선택합니다. 키 버전이 제공되지 않으면 키의 최신 버전이 사용됩니다. 관련 정보는 주요 버전에 대한 Azure 설명서 문서를 참조하세요.
저장을 클릭하여 키 구성을 저장합니다.
암호화를 사용하도록 설정하면 시스템은 키 자격 증명 모음에서 일시 삭제 및 제거 보호를 사용하도록 설정하고, DBFS 루트에 관리 ID를 만들고, 키 자격 증명 모음에 이 ID에 대한 액세스 정책을 추가합니다.
참고 항목
키 자격 증명 모음이 RBAC를 사용하는 경우, 키 자격 증명 모음에서 작업 공간 스토리지 계정 ID로 Key Vault 암호화 서비스의 암호화 사용자 역할을 부여하십시오.
(회전) 키 다시 생성
키를 다시 생성할 때 Azure Databricks 서비스 리소스의 암호화 페이지로 돌아가서 새 키 식별자를 사용하여 키 식별자 필드를 업데이트하고 저장을 클릭해야 합니다. 이는 새 키뿐만 아니라 동일한 키의 새 버전에도 적용됩니다.
중요합니다
암호화에 사용되는 키를 삭제하면 DBFS 루트의 데이터에 액세스할 수 없습니다. Azure Key Vault API를 사용하여 삭제된 키를 복구할 수 있습니다.