DBFS 根的客户管理的密钥

为了进一步控制数据，你可以添加自己的密钥来保护和控制对某些数据类型的访问。 Azure Databricks 有两项客户管理的密钥功能，涉及不同类型的数据和位置。 有关比较，请参阅使用客户管理的密钥进行加密。

默认情况下，存储帐户使用 Azure 管理的密钥进行加密。 为 DBFS 根添加客户管理的密钥后，Azure Databricks 使用密钥加密工作区根 Blob 存储中的所有数据。

• 根 Blob 存储包含工作区的 DBFS 根，这是 DBFS 中的默认存储位置。 Databricks 文件系统 (DBFS) 是一个装载到 Azure Databricks 工作区的分布式文件系统，可以在 Azure Databricks 群集上使用。 DBFS 在 Azure Databricks 工作区的受管理资源组中实现为 Blob 存储实例。 DBFS 根存储包括 DBFS 根中的 MLflow 模型和增量实时表数据（但不适用于 DBFS 装载）。
• 根 Blob 存储还包括工作区的系统数据（不能使用 DBFS 路径直接访问），其中包括作业结果、Databricks SQL 结果、笔记本修订和其他一些工作区数据。

必须使用 Azure Key Vault 来存储客户管理的密钥。 可以将密钥存储在 Azure Key Vault 保管库中。

Key Vault 必须与你的 Azure Databricks 工作区位于同一 Azure 租户中。

可以使用 Azure Key Vault 保管库通过三种不同的方式为 DBFS 存储启用客户管理的密钥：

• 使用 Azure 门户为 DBFS 配置客户管理的密钥
• 使用 Azure CLI 为 DBFS 配置客户管理的密钥
• 使用 PowerShell 为 DBFS 配置客户管理的密钥