使用 Azure 门户为 DBFS 配置客户管理的密钥

注意

此功能仅在高级计划中提供。

可以使用 Azure 门户来配置自己的加密密钥以加密工作区存储帐户。 本文介绍如何通过 Azure Key Vault 保管库配置你自己的密钥。 有关使用 Azure Key Vault 托管 HSM 中的密钥的说明,请参阅使用 Azure 门户为 DBFS 配置 HSM 客户管理的密钥

要详细了解用于 DBFS 的客户管理的密钥,请参阅为 DBFS 根配置客户管理的密钥

在 Azure Key Vault 中创建密钥

本部分介绍如何在 Azure Key Vault 中创建密钥。 必须使用与工作区位于同一 Microsoft Entra ID 租户中的密钥保管库。

如果在同一区域中已有一个现有 Key Vault,则可跳过此过程中的第一步。 但请注意,当你使用 Azure 门户为 DBFS 根加密分配客户管理的密钥时,默认情况下系统将为密钥保管库启用“软删除”和“不清除”属性。 有关这些属性的详细信息,请参阅 Azure Key Vault 软删除概述

  1. 按照快速入门:使用 Azure 门户在 Azure 密钥保管库中设置和检索密钥中的说明创建密钥保管库。

    Azure Databricks 工作区与密钥保管库必须在同一区域和同一 Microsoft Entra ID 租户中,但可以在不同的订阅中。

  2. 继续按照该快速入门中的说明在此密钥保管库中创建一个密钥。

    DBFS 根存储支持 2048、3072 和 4096 大小的 RSA 和 RSA-HSM 密钥。 有关密钥的详细信息,请参阅关于 Key Vault 密钥

  3. 创建密钥后,将密钥标识符复制并粘贴到文本编辑器中。 为 Azure Databricks 配置密钥时将需要用到它。

使用密钥加密工作区存储帐户

  1. 在 Azure 门户中转到 Azure Databricks 服务资源。

  2. 在左侧菜单中的“设置”下,选择“加密”。

    Azure Databricks 的加密选项

  3. 选择“使用自己的密钥”,输入密钥的“密钥标识符”,并选择包含密钥的“订阅”。 如果未提供密钥版本,则会使用最新密钥版本。 有关信息,请参阅有关密钥版本的 Azure 文档

    在 Azure 门户中启用客户管理的密钥

  4. 单击“保存”以保存密钥配置。

    注意

    只有具有密钥保管库参与者角色或密钥保管库的更高角色的用户可以保存。

启用加密后,系统会在密钥保管库上启用“软删除”和“清除保护”,在 DBFS 根上创建一个托管标识,并在密钥保管库中为此标识添加一个访问策略。

重新生成(轮换)密钥

重新生成密钥时,必须返回到 Azure Databricks 服务资源中的“加密”页,使用新的密钥标识符更新“密钥标识符”字段,然后单击“保存”。 这适用于同一密钥和新密钥的新版本。

重要

如果删除了用于加密的密钥,则无法访问 DBFS 根中的数据。 可以使用 Azure Key Vault API 来恢复已删除的密钥