跨租户 CMK 故障排除指南

适用对象: NoSQL MongoDB Cassandra Gremlin

本文帮助排查跨租户 CMK 错误

公共文档链接

Cosmos DB 帐户处于撤销状态

  • 是否已删除密钥保管库?
    • 如果是,请从回收站恢复密钥保管库。
  • 是否已禁用密钥保管库密钥?
    • 如果是,请重新启用密钥。
  • 检查“密钥保管库”->“网络”->“防火墙和虚拟网络”是否设置为“允许从所有网络进行公共访问”或“允许从特定虚拟网络和 IP 地址进行公共访问”。 如果选择“稍后”,请检查是否已正确配置防火墙允许列表,并选择了“允许受信任的 Azure 服务绕过此防火墙”。
  • 根据 Cosmos DB 客户管理的密钥文档,检查密钥保管库的访问策略中是否缺少任何“包装/解包/获取”权限:
    • 如果是,请重新授予访问权限
  • 如果错误地删除了默认标识中使用的多租户应用
  • 如果错误地删除了默认标识中使用的 UserAssigned 标识
    • 如果已删除,UserAssigned 标识在删除后不可恢复。 客户需要为数据库帐户创建新的 UserAssigned 标识,然后在预配期间遵循完全相同的配置步骤,例如使用多租户应用设置 FedereatedCrdential。 最后,客户需要使用新的 UserAssigned 标识更新数据库帐户的默认标识。
      • 示例: _az cosmosdb update --resource-group \<rg\> --name \<dbname\> --default-identity "UserAssignedIdentity=\<New\_UA\_Resource\_ID1\>&FederatedClientId=00000000-0000-0000-0000-000000000000"_.
      • 客户还需要从已在 Azure 中删除的 Cosmos DB 帐户中清除旧的 UserAssigned 标识。 示例命令:az cosmosdb identity remove --resource-group \<rg\> --name \<dbname\> --identities \<OLD\_UA\_Resource\_ID\>
    • 等待 1 小时,让帐户从撤销状态恢复
    • 尝试通过发出 SDK/REST API 请求或使用 Azure 门户的数据资源管理器查看文档来访问 Cosmos DB 数据平面。

1. 基本控制平面创建/更新错误案例


1.1


方案

客户在未选中密钥保管库的防火墙配置“允许受信任的 Azure 服务绕过此防火墙”的情况下,通过 Azure CLI/ARM 模板创建 CMK 数据库帐户。

错误消息

Database account creation failed. Operation Id: 00000000-0000-0000-0000-000000000000, Error: {\"error\":{\"code\":\"Forbidden\",\"message\":\"Client address is not authorized and caller was ignored **because bypass is set to None** \\r\\nClient address: xx.xx.xx.xx\\r\\nCaller: name=Unknown/unknown;appid=00001111-aaaa-2222-bbbb-3333cccc4444;oid=ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0\\r\\nVault: mykeyvault;location=eastus\",\"innererror\":{\"code\":\" **ForbiddenByFirewall** \"}}}\r\nActivityId: 00000000-0000-0000-0000-000000000000,

状态代码

禁止访问 (403)

根本原因

密钥保管库未正确配置为允许 VNet/受信任的服务绕过防火墙。 预配进程将检测到它无法访问密钥保管库,因此会引发错误。 | | 缓解措施 | 转到 Azure 门户 ->“密钥保管库”->“网络”->“防火墙和虚拟网络”-> 确保选择“允许从特定虚拟网络和 IP 地址进行公共访问”,并确保选中“允许受信任的 Azure 服务绕过此防火墙”->“保存”

允许进行公共访问的网络设置。


1.2


方案

  1. 客户尝试使用租户中不存在的密钥保管库密钥 URI 创建 CMK 帐户。
  2. 客户尝试使用不同租户中的数据库帐户和密钥保管库创建跨租户 CMK 帐户,但客户忘记在默认标识中包含“&FederatedClientId=<00000000-0000-0000-0000-000000000000>”。

例如:az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.cn/keys/mykey" --assign-identity "/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity" --default-identity "UserAssignedIdentity=/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity"

默认标识中缺少“&FederatedClientId=<00000000-0000-0000-0000-000000000000>”。

  1. 客户尝试使用不同租户中的数据库帐户和密钥保管库以及默认标识中的“&FederatedClientId=<00000000-0000-0000-0000-000000000000>”创建跨租户 CMK 帐户。 但是,多租户应用不存在或已删除。

错误消息

Database account creation failed. Operation Id: 00000000-0000-0000-0000-000000000000, Error: Error contacting the Azure Key Vault resource. Please try again.

状态代码

ServiceUnavailable(503)

根本原因

在场景 1 中:符合预期

在场景 2 中:缺少“&FederatedClientId=<>00000000-0000-0000-0000-000000000000”,导致系统认为密钥保管库与数据库帐户位于同一租户中,但客户可能在同一租户中没有名称相同的此类密钥保管库,从而导致此错误。

在场景 3 中:符合预期,因为多租户应用不存在或已删除。

缓解

对于场景 1:客户需要按照设置客户管理的密钥文档中的“配置 Azure 密钥保管库实例”部分检索密钥保管库密钥 URI

对于场景 2:客户需要将缺少的“&FederatedClientId=<>00000000-0000-0000-0000-000000000000”添加到默认标识中。

对于场景 3:客户需要使用正确的 FederatedClientId,或使用还原应用程序文档还原多租户应用


1.3


方案

客户尝试使用无效的密钥保管库密钥 URI 创建/更新 CMK 帐户。

错误消息

Provided KeyVaultKeyUri http://mykeyvault.vault1.azure2.net3/keys4/mykey is Invalid. ActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0

状态代码

BadRequest(400)

根本原因

输入的密钥保管库密钥 URI 无效。

缓解

客户应按照设置客户管理的密钥文档从门户检索正确的密钥保管库密钥 URI。


1.4


方案

  1. 客户尝试在低于“2019-12-12”的 API 版本中使用“keyVaultKeyUri”创建 CMK 帐户。
  2. 客户尝试在低于“2019-12-12”的 API 版本中更新 CMK 帐户的“keyVaultKeyUri”。
  3. 客户尝试将现有 CMK 帐户的非 null“keyVaultKeyUri”更新为 null 值。 (将 CMK 帐户转换为非 CMK 帐户)

错误消息

ActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

  1. 客户在更新 KeyVaultKeyUri 时使用低于“2019-12-12”的 API 版本。
  2. 目前不支持将 CMK 帐户转换为非 CMK 帐户。

缓解

不适用,目前不支持。


1.5


方案

客户尝试更新处于撤销状态的 Cosmos DB CMK 帐户。 请注意,客户的更新既不是更新默认标识,也不是分配/取消分配托管服务标识。

错误消息

No Update is allowed on Database Account with Customer Managed Key in Revoked Status
ActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0

状态代码

BadRequest(400)

根本原因

在处于撤销状态期间,只允许在帐户中更新默认标识或分配/取消分配托管服务标识。 在数据库帐户从撤销状态恢复之前,将禁止其他更新。

缓解

客户应按照“密钥保管库撤销状态故障排除指南”重新授予密钥保管库访问权限


1.6


方案

客户尝试使用 SystemAssigned 作为默认标识创建 CMK 数据库帐户。

示例命令:az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.cn/keys/mykey" --assign-identity "[system]" --default-identity "SystemAssignedIdentity&FederatedClientId=00000000-0000-0000-0000-000000000000" --backup-policy-type Continuous

错误消息

Database account creation failed. Operation Id: 00000000-0000-0000-0000-000000000000, Error: Updating default identity not allowed. Cannot set SystemAssignedIdentity as the default identity during provision. ActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

创建数据库帐户时,目前不支持将 SystemAssigned 标识用作默认标识。 仅当客户将默认标识更新为 SystemAssignedidentity 并且密钥保管库和数据库帐户位于同一租户中时,才支持将 SystemAssigned 标识用作默认标识。

缓解

如果客户要创建启用了连续备份/Synapse Link/全保真更改源/具体化视图的 CMK 帐户,则 UserAssigned 标识是目前唯一受支持的默认标识。 请注意,仅当客户将默认标识更新为 SystemAssigned 标识并且密钥保管库和数据库帐户位于同一租户中时,才支持将 SystemAssignedIdentity 用作默认标识。

使用 UserAssigned 标识创建数据库帐户的示例命令。 (参阅“通过 UserAssigned 标识预配跨租户 CMK 帐户”)


1.7


方案

客户尝试将现有跨租户 CMK 数据库帐户的 KeyVaultKeyUri 更新为新的密钥保管库,但该密钥保管库的租户与旧密钥保管库不同。

错误消息

The tenant for the new Key Vault 00000000-0000-0000-0000-000000000000 does not match the one in the old Key Vault 00000000-0000-0000-0000-000000000001. New Key Vaults must be on the same tenant as the old ones.

状态代码

BadRequest(400)

根本原因

将默认标识设置为具有“FedereatedClientId”的跨租户 CMK 帐户后,只允许将密钥保管库密钥 URI 更新为租户与旧密钥保管库相同的新 URI。 出于安全原因,我们不允许将密钥保管库密钥 URI 更新为其他租户。

缓解

不适用,不支持


1.8


方案

客户尝试在现有跨租户 CMK 帐户中将默认标识从“UserAssignedIdentity=<UA_Resource_ID>&FederatedClientId=00000000-0000-0000-0000-000000000000”更改为“SystemAssignedIdentity&FederatedClientId=00000000-0000-0000-0000-000000000000”。

错误消息

Cross-tenant CMK is not supported with System Assigned identities as Default identities. Please use a User Assigned Identity instead.

状态代码

BadRequest(400)

根本原因

跨租户 CMK 方案中目前不支持 SystemAssigned 标识。

缓解

不适用,不支持


1.9


方案

• 客户尝试使用 FirstPartyIdentity 作为默认标识来预配跨租户 CMK 帐户。

• 客户尝试在现有跨租户 CMK 帐户中将默认标识从“UserAssignedIdentity=<UA_Resource_ID>&FederatedClientId=00000000-0000-0000-0000-000000000000”更改为“FirstPartyIdentity”。

错误消息

Cross-tenant CMK is not supported with First Party identities as Default identities. Please use a User Assigned identity instead

状态代码

BadRequest(400)

根本原因

跨租户 CMK 方案中目前不支持第一方标识

缓解

不适用,不支持


2. 数据平面错误案例


2.1


方案

当数据库帐户处于撤销状态时,客户尝试通过 SDK/DocumentDBStudio/门户的数据资源管理器从 Cosmos DB 数据平面查询 SQL 文档/表实体/图形顶点。

错误消息

{"Errors":["Request is blocked due to Customer Managed Key not being accessible."]} ActivityId: 00000000-0000-0000-0000-000000000000, Request URI: /apps/00000000-0000-0000-0000-000000000000/services/00000000-0000-0000-0000-000000000000/partitions/00000000-0000-0000-0000-000000000000/replicas/1234567p/, RequestStats: Microsoft.Azure.Cosmos.Tracing.TraceData.ClientSideRequestStatisticsTraceDatum, SDK

状态代码

禁止访问 (403)

根本原因

数据库帐户进入撤销状态的原因有多种,具体请参阅“密钥保管库撤销状态故障排除指南”中的“6 项检查”。

缓解

客户应按照“密钥保管库撤销状态故障排除指南”从撤销状态中恢复。


2.2


方案

当数据库帐户处于撤销状态时,客户尝试通过 SDK/DocumentDBStudio/门户的数据资源管理器从 Cosmos DB 数据平面查询 Cassandra 行。

错误消息

{"readyState":4,"responseText":"","status":401,"statusText":"error"}

状态代码

未授权 (401)

根本原因

数据库帐户进入撤销状态的原因有多种,具体请参阅“密钥保管库撤销状态故障排除指南”中的“6 项检查”。

缓解

客户应按照“密钥保管库撤销状态故障排除指南”从撤销状态中恢复。


2.3


方案

当数据库帐户处于撤销状态时,客户尝试通过 SDK/DocumentDBStudio/门户的数据资源管理器从 Cosmos DB 数据平面查询 Mongo API。

错误消息

Error querying documents: An exception occurred while opening a connection to the server., Payload: {<redacted>}

状态代码

内部服务器错误 (500)

根本原因

数据库帐户进入撤销状态的原因有多种,具体请参阅“密钥保管库撤销状态故障排除指南”中的“6 项检查”。

缓解

客户应按照“密钥保管库撤销状态故障排除指南”从撤销状态中恢复。


2.4


方案

当数据库帐户处于撤销状态时,客户尝试通过 SDK/DocumentDBStudio/门户的数据资源管理器从 Cosmos DB 数据平面创建/修改集合/文档(或其他命名取决于 API)。

错误消息

Request timed out.

状态代码

请求超时 (408)

根本原因

数据库帐户进入撤销状态的原因有多种,具体请参阅“密钥保管库撤销状态故障排除指南”中的“6 项检查”。

缓解

客户应按照“密钥保管库撤销状态故障排除指南”从撤销状态中恢复。



3.1


方案

  1. 客户尝试创建同时启用连续备份模式和多个写入位置的数据库帐户
  2. 客户尝试在启用了多个写入位置的现有数据库帐户中启用连续备份模式
  3. 客户尝试在启用了连续备份模式的现有数据库帐户中启用多个写入位置。

错误消息

Continuous backup mode and multiple write locations cannot be enabled together for a multiple-region database account
ActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

无法同时启用连续备份模式和多个写入位置

缓解

不适用,目前不支持。


3.2


方案

  1. 客户使用第一方标识作为默认标识创建启用连续备份/Azure Synapse Link/全保真更改源/具体化视图的 CMK 数据库帐户。
  2. 客户在使用第一方标识作为默认标识的现有帐户中启用连续备份/Azure Synapse Link/全保真更改源/具体化视图。

示例命令:az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.cn/keys/mykey" --assign-identity "[system]" --default-identity "FirstPartyIdentity" --backup-policy-type Continuous

错误消息

Setting Non-FPI default identity is required for dedicated storage account features. Please set a valid System or User Assigned Identity to default and retry the request.\r\nActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

连续备份/Azure Synapse Link/全保真更改源/具体化视图功能需要专用存储帐户,而此类帐户不支持将 FirstPartyIdentity 用作默认标识。

缓解

如果客户要创建启用了连续备份/Synapse Link/全保真更改源/具体化视图的 CMK 帐户,则 UserAssigned 标识是目前唯一受支持的默认标识。 请注意,仅当客户将默认标识更新为 SystemAssigned 标识并且密钥保管库和数据库帐户位于同一租户中时,才支持将 SystemAssignedIdentity 用作默认标识。

使用 UserAssigned 标识创建数据库帐户的示例命令。 az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.cn/keys/mykey" --assign-identity "/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity" --default-identity "UserAssignedIdentity=/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity&FederatedClientId=00000000-0000-0000-0000-000000000000"


3.3


方案

客户尝试在已启用连续备份/Synapse Link/全保真更改源/具体化视图的现有非 CMK 帐户中启用 CMK。

错误消息

Customer Managed Key enablement on an existing Analytical Store/Continuous Backup/Materialized View/Full Fidelity Change Feed enabled Account is not supported ActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

在已启用连续备份/Azure Synapse Link/全保真更改源/具体化视图的现有非 CMK 帐户中启用 CMK 的功能目前正在开发中,目前不支持该操作。

缓解

不适用,目前不支持。


3.4


方案

客户尝试在已启用 Azure Synapse Link 的现有数据库帐户中关闭 Azure Synapse Link(也称为分析存储)。

错误消息

EnableAnalyticalStorage cannot be disabled once it is enabled on an account.\r\nActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0

状态代码

BadRequest(400)

根本原因

目前,一旦打开 Azure Synapse Link,就无法将其关闭。

缓解

不适用,目前不支持。


3.5


方案

客户尝试在已启用连续备份模式的现有数据库帐户中关闭连续备份模式(也称为 PITR)。

错误消息

Continuous backup mode cannot be disabled once it is enabled on the account.\\r\\nActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0\

状态代码

BadRequest(400)

根本原因

目前,一旦打开连续备份模式,就无法将其关闭。

缓解

不适用,目前不支持。


3.6


方案

客户尝试在已启用具体化视图的现有数据库帐户中关闭具体化视图。

错误消息

EnableMaterializedViews cannot be disabled once it is enabled on an account.\r\nActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

目前,一旦打开具体化视图,就无法将其关闭。

缓解

不适用,目前不支持。


3.7


方案

客户尝试使用任何其他属性启用连续备份模式。 例如: az cosmosdb update -n mydb -g myresourcegroup --backup-policy-type Continuous --enable-analytical-storage

错误消息

Cannot update continuous backup mode and other properties at the same time. ActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

不支持在现有帐户中使用任何其他属性启用连续备份模式。

缓解

在现有帐户中不使用任何其他属性启用连续备份模式。


3.8


方案

客户尝试创建一个同时启用连续备份(也称为 PITR)和 Azure Synapse Link(也称为分析存储)的 CMK 帐户。

错误消息

Continuous backup mode cannot be enabled together with Storage Analytics feature.

状态代码

BadRequest(400)

根本原因

在创建过程中不能同时启用连续备份(也称为 PITR)和 Azure Synapse Link(也称为分析存储)。 但是,客户可以在启用了连续备份的现有数据库帐户中启用 Azure Synapse Link。

缓解

不适用,目前不支持。


3.9


方案

客户尝试创建启用了全保真更改源的 CMK 帐户。

错误消息

Customer Managed Key and Full Fidelity Change Feed cannot be enabled together for a multiple-region database account\r\nActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

目前无法为多区域数据库帐户同时启用客户管理的密钥和全保真更改源。

缓解

不适用,目前不支持。


3.10


方案

客户尝试在已启用连续备份模式的现有数据库帐户中启用具体化视图。

错误消息

Cannot enable Materialized View when continuous backup mode is already enabled.\r\nActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

在已启用连续备份模式的情况下不支持启用具体化视图。

缓解

不适用,目前不支持。


3.11


方案

客户尝试在启用了具体化视图的现有帐户中启用连续备份模式。

错误消息

Cannot enable continuous backup mode when Materialized View is already enabled.\r\nActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

如果已启用具体化视图,则无法启用连续备份模式

缓解

不适用,目前不支持。


3.12


方案

客户尝试在启用了具体化视图的现有帐户中启用全保真更改源。

错误消息

Cannot enable full fidelity change feed when materialized view is already enabled.\r\nActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

如果已启用具体化视图,则无法启用全保真更改源

缓解

不适用,目前不支持。




4.2


方案

  1. 客户使用 Cassandra API 创建启用了连续备份模式的 CMK 数据库帐户。
  2. 客户使用 Cassandra API 在 CMK 数据库帐户中启用连续备份模式。

错误消息

Continuous backup mode cannot be enabled together with Cassandra database account\r\nActivityId: e2b1b7c8-211a-4fa5-bd9c-253e6c65d6f0, Microsoft.Azure.Documents.Common/2.14.0

状态代码

BadRequest(400)

根本原因

无法与 Cassandra 数据库一起启用连续备份模式

缓解

不适用,目前不支持。


4.3


方案

  1. 客户尝试创建同时启用 Gremlin V1 和连续备份模式的数据库帐户。
  2. 客户尝试使用 Gremlin API 在现有数据库帐户中启用连续备份模式。

错误消息

Continuous backup mode cannot be enabled together with Gremlin V1 enabled database account\\r\\nActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

目前无法与 Gremlin V1 帐户一起启用连续备份模式。

缓解

预期行为。


4.4


方案

  1. 客户尝试创建同时启用表 API 和连续备份模式的数据库帐户。
  2. 客户尝试使用表 API 在现有数据库帐户中启用连续备份模式。

错误消息

Continuous backup mode cannot be enabled together with table enabled database account\\r\\nActivityId: 00000000-0000-0000-0000-000000000000

状态代码

BadRequest(400)

根本原因

无法与启用了表的数据库帐户一起启用连续备份模式。

缓解

预期行为。



5.1


方案

客户尝试使用 Azure Synapse Link 从启用了 Azure Synapse Link 的 Cosmos DB CMK 帐户查询数据,但同时密钥保管库访问权限已丢失。

例如,客户尝试使用 Azure Synapse Studio 的 Spark 笔记本通过 Azure Synapse Link 查询 Cosmos DB 数据,同时客户暂时从密钥保管库访问策略中删除了当前默认标识的“获取/包装/解包”权限。

错误消息

Py4JJavaError                             Traceback (most recent call last)
<ipython-input-30-668efb4> in <module>
----> 1 df = spark.read.format("cosmos.olap").option("spark.synapse.linkedService", "CosmosDb1").option("spark.cosmos.container", "cc").load()
      2 
      3 display(df.limit(10))

/opt/spark/python/lib/pyspark.zip/pyspark/sql/readwriter.py in load(self, path, format, schema, **options)
    162             return self._df(self._jreader.load(self._spark._sc._jvm.PythonUtils.toSeq(path)))
    163         else:
--> 164             return self._df(self._jreader.load())
    165 
    166     def json(self, path, schema=None, primitivesAsString=None, prefersDecimal=None,

~/cluster-env/env/lib/python3.8/site-packages/py4j/java_gateway.py in __call__(self, *args)
   1319 
   1320         answer = self.gateway_client.send_command(command)
-> 1321         return_value = get_return_value(
   1322             answer, self.gateway_client, self.target_id, self.name)
   1323 

/opt/spark/python/lib/pyspark.zip/pyspark/sql/utils.py in deco(*a, **kw)
    109     def deco(*a, **kw):
    110         try:
--> 111             return f(*a, **kw)
    112         except py4j.protocol.Py4JJavaError as e:
    113             converted = convert_exception(e.java_exception)

~/cluster-env/env/lib/python3.8/site-packages/py4j/protocol.py in get_return_value(answer, gateway_client, target_id, name)
    324             value = OUTPUT_CONVERTER[type](answer[2:], gateway_client)
    325             if answer[1] == REFERENCE_TYPE:
--> 326                 raise Py4JJavaError(
    327                     "An error occurred while calling {0}{1}{2}.\n".
    328                     format(target_id, ".", name), value)

Py4JJavaError: An error occurred while calling o1292.load.
: org.apache.hadoop.fs.azure.AzureException: java.util.NoSuchElementException: An error occurred while enumerating the result, check the original exception for details.
	at org.apache.hadoop.fs.azure.AzureNativeFileSystemStore.retrieveMetadata(AzureNativeFileSystemStore.java:2223)
...
**Caused by: com.microsoft.azure.storage.StorageException: The key vault key is not found to unwrap the encryption key.**
	at com.microsoft.azure.storage.StorageException.translateException(StorageException.java:87)
	at com.microsoft.azure.storage.core.StorageRequest.materializeException(StorageRequest.java:315)
	at com.microsoft.azure.storage.core.ExecutionEngine.executeWithRetry(ExecutionEngine.java:185)
	at com.microsoft.azure.storage.core.LazySegmentedIterator.hasNext(LazySegmentedIterator.java:109)
  

状态代码

BadRequest(400)

根本原因

由于客户暂时从密钥保管库访问策略中删除了当前默认标识的“获取/包装/解包”权限,因此 Cosmos DB 帐户和专用存储帐户都不再能够访问密钥保管库,并将进入撤销状态。 Azure Synapse Link 将从处于撤销状态的专用存储帐户查询数据:“原因: com.microsoft.azure.storage.StorageException: 未找到用于解包加密密钥的密钥保管库密钥。”

缓解

客户应按照“密钥保管库撤销状态故障排除指南”重新授予密钥保管库访问权限。