使用 Azure 门户为 DBFS 配置客户管理的密钥

注意

此功能仅在高级计划中提供。

可以使用 Azure 门户来配置自己的加密密钥以加密工作区存储帐户。 本文介绍如何通过 Azure Key Vault 保管库配置你自己的密钥。 有关使用 Azure Key Vault 托管 HSM 中的密钥的说明,请参阅使用 Azure 门户为 DBFS 配置 HSM 客户管理的密钥

要详细了解用于 DBFS 的客户管理的密钥,请参阅为 DBFS 根配置客户管理的密钥

在 Azure Key Vault 中创建密钥

本部分介绍如何在 Azure Key Vault 中创建密钥。 必须使用与工作区位于同一Microsoft Entra ID 租户中的密钥保管库。

如果同一区域中已有一个密钥保管库,则可以跳过此过程中的第一步。 但是,请注意,使用 Azure 门户为 DBFS 根加密分配客户管理的密钥时,系统默认为密钥保管库启用 软删除不清除 属性。 有关这些属性的详细信息,请参阅 Azure Key Vault 软删除概述

  1. 按照快速入门中的说明创建密钥保管库 :使用 Azure 门户从 Azure Key Vault 设置和检索密钥

    Azure Databricks 工作区和密钥保管库必须位于同一区域和相同的Microsoft Entra ID 租户中,但它们可以位于不同的订阅中。

  2. 在密钥保管库中创建密钥,继续按照快速入门中的说明进行操作。

    DBFS 根存储支持 2048、3072 和 4096 大小的 RSA 和 RSA-HSM 密钥。 有关密钥的详细信息,请参阅 “关于 Azure Key Vault 密钥”。

  3. 创建密钥后,将密钥标识符复制并粘贴到文本编辑器中。 为 Azure Databricks 配置密钥时将需要用到它。

使用密钥加密工作区存储帐户

必须在 Azure Key Vault 密钥上具有 Key Vault 参与者角色

  1. 在 Azure 门户中转到 Azure Databricks 服务资源。

  2. 在左侧菜单中的“设置”下,选择“加密”。

    Azure Databricks 的加密选项

  3. 选择“使用自己的密钥”,输入密钥的“密钥标识符”,并选择包含密钥的“订阅”。 如果未提供密钥版本,则会使用最新密钥版本。 有关信息,请参阅有关密钥版本的 Azure 文档

  4. 单击“保存”以保存密钥配置。

启用加密后,系统会在密钥保管库上启用 软删除清除保护 ,在 DBFS 根目录上创建托管标识,并在密钥保管库中添加此标识的访问策略。

注意

如果您的密钥库使用的是 RBAC,请将“密钥库加密服务加密用户”角色授予密钥库中工作区存储帐户标识。

重新生成(轮换)密钥

重新生成密钥时,必须返回到 Azure Databricks 服务资源中的“加密”页,使用新的密钥标识符更新“密钥标识符”字段,然后单击“保存”。 这适用于同一密钥和新密钥的新版本。

重要

如果删除了用于加密的密钥,则无法访问 DBFS 根中的数据。 可以使用 Azure Key Vault API 来恢复已删除的密钥