使用 Azure 门户为 DBFS 配置 HSM 客户管理的密钥

可以使用 Azure 门户来配置自己的加密密钥以加密工作区存储帐户。 本文介绍如何从 Azure 密钥保管库托管 HSM 配置自己的密钥。 有关从 Azure 密钥保管库保管库使用密钥的说明，请参阅使用 Azure 门户为 DBFS 配置客户管理的密钥。

要详细了解用于 DBFS 的客户管理的密钥，请参阅为 DBFS 根配置客户管理的密钥。

创建 Azure 密钥保管库托管 HSM 和 HSM 密钥

可以使用现有的 Azure Key Vault 托管 HSM，也可以按照快速入门：使用 Azure CLI 预配和激活托管 HSM 创建并激活新的 HSM。 Azure 密钥保管库托管 HSM 必须启用清除保护。

要创建 HSM 密钥，请按照创建 HSM 密钥中的说明进行操作。

准备工作区存储帐户

1. 在 Azure 门户中转到 Azure Databricks 服务资源。

2. 在左侧菜单的“自动化”下，选择“导出模板”。

3. 单击“部署”。

4. 单击“编辑模板”，搜索 prepareEncryption，然后将保管库更改为 true 类型。 例如：

     "prepareEncryption": {
              "type": "Bool",
              "value": "true"
           }
   

5. 单击“保存” 。

6. 单击“查看 + 创建”以部署更改。

7. 在右侧的“概要”下，单击“JSON 视图”。

8. 搜索 storageAccountIdentity，然后复制 principalId。

配置托管 HSM 角色分配

1. 在 Azure 门户中转到你的托管 HSM 资源。
2. 在左侧菜单中的“设置”下，选择“本地 RBAC”。
3. 单击“添加” 。
4. 在“角色”字段中，选择“托管 HSM 加密服务加密用户”。
5. 在“范围”字段中，选择 All keys (/)。
6. 在“安全主体”字段中，在搜索栏中输入工作区存储帐户的 principalId。 选择结果。
7. 单击 “创建” 。
8. 在左侧菜单中的“设置”下，选择“密钥”，然后选择密钥。
9. 在“密钥标识符”字段中，复制文本。

使用 HSM 密钥加密工作区存储帐户

1. 在 Azure 门户中转到 Azure Databricks 服务资源。
2. 在左侧菜单中的“设置”下，选择“加密”。
3. 选择“使用自己的密钥”，输入托管 HSM 密钥的“密钥标识符”，并选择包含密钥的“订阅”。
4. 单击“保存”以保存密钥配置。

重新生成（轮换）密钥

重新生成密钥时，必须返回到 Azure Databricks 服务资源中的“加密”页，使用新的密钥标识符更新“密钥标识符”字段，然后单击“保存”。 这适用于同一密钥和新密钥的新版本。