Door de klant beheerde sleutels configureren voor beheerde Azure-schijven
Azure Databricks-rekenworkloads in het rekenvlak slaan tijdelijke gegevens op door Azure beheerde schijven op. Standaard worden gegevens die zijn opgeslagen op beheerde schijven versleuteld met behulp van versleuteling aan de serverzijde met door Microsoft beheerde sleutels. In dit artikel wordt beschreven hoe u een door de klant beheerde sleutel configureert vanuit Azure Key Vault-kluizen voor uw Azure Databricks-werkruimte voor gebruik voor versleuteling van beheerde schijven. Zie HSM door de klant beheerde HSM-sleutels configureren voor door Azure beheerde schijven voor instructies over het gebruik van een sleutel uit Azure Key Vault HSM.
Belangrijk
- Door de klant beheerde sleutels voor beheerde schijfopslag zijn van toepassing op gegevensschijven, maar zijn niet van toepassing op besturingssysteemschijven.
- Door de klant beheerde sleutels voor beheerde schijfopslag zijn niet van toepassing op serverloze rekenresources, zoals serverloze SQL-warehouses en Model Serving. Schijven die worden gebruikt voor serverloze rekenresources zijn van korte duur en gekoppeld aan de levenscyclus van de serverloze workload. Wanneer rekenresources worden gestopt of omlaag worden geschaald, worden de VM's en hun opslag vernietigd.
Vereisten
Uw Azure Databricks-werkruimte moet zich in het Premium-abonnement bevinden.
Uw Azure Key Vault- en Azure Databricks-werkruimte moeten zich in dezelfde regio en in dezelfde Microsoft Entra ID-tenant bevinden. Ze mogen tot verschillende abonnementen behoren.
Als u automatische rotatie wilt inschakelen, worden alleen softwaresleutels en HSM RSA van grootten 2048-bits, 3072-bits en 4096-bits ondersteund.
Deze functie wordt niet ondersteund voor werkruimten met FedRAMP-naleving. Neem contact op met uw Azure Databricks-accountteam voor meer informatie.
Als u de Azure CLI voor deze taken wilt gebruiken, installeert u het Azure CLI-hulpprogramma en installeert u de Databricks-extensie:
az extension add --name databricksAls u PowerShell voor deze taken wilt gebruiken, installeert u Azure PowerShell en installeert u de Databricks Powershell-module. U moet zich ook aanmelden:
Connect-AzAccountAls u zich als gebruiker wilt aanmelden bij uw Azure-account, raadpleegt u PowerShell-aanmelding met een Azure Databricks-gebruikersaccount. Als u zich als een service-principal wilt aanmelden bij uw Azure-account, raadpleegt u de PowerShell-aanmelding met een Service-principal van Microsoft Entra ID.
Stap 1: Een sleutelkluis maken
U kunt een Key Vault op veel manieren maken, waaronder Azure Portal, Azure CLI, Powershell en eventueel ARM-sjablonen. De volgende secties bevatten procedures voor het gebruik van Azure CLI en PowerShell. Raadpleeg de Microsoft-documentatie voor andere benaderingen.
Azure CLI gebruiken
Een sleutelkluis maken:
az keyvault create --name <keyVaultName> --resource-group <resourceGroupName> --location <location> --sku <sku> --enable-purge-protectionHaal de kluis-URI op:
az keyvault show --name <key-vault-name>Kopieer de
vaultUriwaarde uit het antwoord.
Powershell gebruiken
Een nieuwe kluis maken:
$keyVault = New-AzKeyVault -Name <key-vault-name> -ResourceGroupName <resource-group-name> -Location <location> -Sku <sku> -EnablePurgeProtection
Een bestaande sleutelkluis ophalen:
$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
Stap 2: Een sleutel voorbereiden
U kunt een sleutel maken of een bestaande sleutel ophalen die is opgeslagen in Azure Key Vault met behulp van Azure Portal, Azure CLI, Powershell en eventueel arm-sjablonen. Deze sectie bevat procedures voor Azure CLI en PowerShell. Zie de documentatie voor Azure-sleutels voor andere manieren.
Azure CLI gebruiken
U kunt een sleutel maken of een bestaande sleutel ophalen.
Een sleutel maken:
Voer de volgende opdracht uit:
az keyvault key create \ --name <key-name> \ --vault-name <key-vault-name> \ --protection softwareNoteer de volgende waarden uit de uitvoer:
- Sleutelkluisnaam: de naam van uw Sleutelkluis
- Sleutelnaam: de naam van uw sleutel
- Sleutelversie: de versie van uw sleutel.
- Key Vault-resourcegroep: de resourcegroep van uw Key Vault
Sleutelinformatie ophalen:
az keyvault key show --vault-name <keyVaultName> --name <keyName>Kopieer de waarde van het
kidveld, wat uw sleutel-id is.De volledige sleutel-id heeft meestal het formulier
https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>. Azure Key Vault-sleutels die zich in een niet-openbare cloud bevinden, hebben een andere vorm.
Een bestaande sleutel ophalen:
Voer de volgende opdracht uit:
az keyvault key show --name <key-name> --vault-name <key-vault-name>Noteer de volgende gegevens voor uw bestaande sleutel:
- Sleutelkluisnaam: de naam van uw sleutelkluis.
- Sleutelnaam: de naam van uw sleutel.
- Sleutelversie: de versie van uw sleutel.
- Key Vault-resourcegroep: de resourcegroep van uw Key Vault.
Sleutelinformatie ophalen:
az keyvault key show --vault-name <keyVaultName> --name <keyName>Kopieer de waarde van het
kidveld, wat uw sleutel-id is.De volledige sleutel-id heeft meestal het formulier
https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>. Azure Key Vault-sleutels die zich in een niet-openbare cloud bevinden, hebben een andere vorm.Controleer of uw bestaande sleutel is ingeschakeld voordat u doorgaat door opnieuw uit te voeren
az keyvault key show --name <key name>. De uitvoer wordt weergegeven"enabled": true.
Powershell gebruiken
Als u van plan bent een sleutel te maken, moet u mogelijk het toegangsbeleid instellen, afhankelijk van hoe en wanneer u deze hebt gemaakt. Als u bijvoorbeeld onlangs de Sleutelkluis hebt gemaakt met behulp van PowerShell, heeft uw nieuwe Sleutelkluis mogelijk geen toegangsbeleid nodig om een sleutel te maken. In het volgende voorbeeld wordt de
EmailAddressparameter gebruikt om het beleid in te stellen. Zie het Microsoft-artikel over Set-AzKeyVaultAccessPolicy voor verwante informatie.Stel het toegangsbeleid in voor een nieuwe Sleutelkluis:
Set-AzKeyVaultAccessPolicy \ -VaultName $keyVault.VaultName \ -PermissionsToKeys all \ -EmailAddress <email-address>U kunt een sleutel maken of een bestaande sleutel ophalen:
Een sleutel maken:
$key = Add-AzKeyVaultKey \ -VaultName $keyVault.VaultName \ -Name <key-name> \ -Destination 'Software'Een bestaande sleutel ophalen:
$key = Get-AzKeyVaultKey \ -VaultName $keyVault.VaultName \ -Name <key-name>
Stap 3: Alle rekenresources stoppen
Beëindig alle rekenresources (clusters, pools en SQL-warehouses) in uw werkruimte.
Stap 4: Een werkruimte maken of bijwerken
Als u een werkruimte wilt maken of bijwerken met een door de klant beheerde sleutel voor beheerde schijven, kiest u een van de volgende implementatiestrategieën:
- Azure Portal gebruiken (geen sjabloon)
- De Azure CLI gebruiken (geen sjabloon)
- PowerShell gebruiken (geen sjabloon)
- Een ARM-sjabloon gebruiken (Azure Portal of CLI)
Azure Portal gebruiken (geen sjabloon)
In deze sectie wordt beschreven hoe u Azure Portal gebruikt om een werkruimte te maken of bij te werken met door de klant beheerde sleutels voor beheerde schijven zonder een sjabloon te gebruiken.
Begin met het maken of bijwerken van een werkruimte:
Maak een nieuwe werkruimte met een sleutel:
- Ga naar de startpagina van Azure Portal en klik op Een resource maken in de linkerbovenhoek van de pagina.
- Typ
Azure Databricksen klik in de zoekbalk op Azure Databricks. - Selecteer Maken in de Azure Databricks-widget.
- Voer waarden in de formuliervelden in op de tabbladen Basisbeginselen en Netwerken.
- Schakel op het tabblad Versleuteling het selectievakje Uw eigen sleutel gebruiken in de sectie Beheerde schijven in.
Voeg in eerste instantie een sleutel toe aan een bestaande werkruimte:
- Ga naar de startpagina van Azure Portal voor Azure Databricks.
- Navigeer naar uw bestaande Azure Databricks-werkruimte.
- Open het tabblad Versleuteling vanuit het linkerdeelvenster.
- Schakel managed disks in onder de sectie Door de klant beheerde sleutels in.
Stel de versleutelingsvelden in.
- Plak in het veld Sleutel-id de sleutel-id van uw Azure Key Vault-sleutel.
- Voer in de vervolgkeuzelijst Abonnement de naam van uw Azure Key Vault-sleutel in.
- Als u automatische rotatie van uw sleutel wilt inschakelen, schakelt u Automatisch draaien van sleutel in.
Voltooi de resterende tabbladen en klik op Controleren en maken (voor nieuwe werkruimte) of Opslaan (voor het bijwerken van een werkruimte).
Nadat uw werkruimte is geïmplementeerd, gaat u naar uw nieuwe Azure Databricks-werkruimte.
Klik op het tabblad Overzicht van uw Azure Databricks-werkruimte op Beheerde resourcegroep.
Zoek op het tabblad Overzicht van de beheerde resourcegroep naar het object van het type Schijfversleutelingsset dat in deze resourcegroep is gemaakt. Kopieer de naam van de schijfversleutelingsset.
Ga in Azure Portal naar de Azure Key Vault die is gebruikt voor het configureren van de sleutel die u voor deze functie gebruikt.
Open het tabblad Toegangsbeleid in het linkerdeelvenster. Zodra het tabblad is geopend, klikt u boven aan de pagina op Maken .
Schakel op het tabblad Machtigingen onder de sectie Sleutelmachtigingen Get, Unwrap Key en Wrap in.
Klik op Volgende.
Voer op het tabblad Principal de naam in van de schijfversleutelingsset in de beheerde resourcegroep van uw Azure Databricks-werkruimte in de zoekbalk. Selecteer het resultaat en klik op Volgende.
Klik op het tabblad Controleren en maken en klik op Maken.
De Azure CLI gebruiken (geen sjabloon)
Voeg voor zowel nieuwe als bijgewerkte werkruimten deze parameters toe aan uw opdracht:
disk-key-name: Naam van de sleuteldisk-key-vault: Naam van de kluisdisk-key-version: sleutelversie. Gebruik de specifieke sleutelversie en nietlatest.disk-key-auto-rotation: Schakel automatische rotatie van de sleutel (trueoffalse) in. Dit is een optioneel veld. De standaardwaarde isfalse.
Gebruik in de volgende opdrachten de waarde van de kluis-URI uit het antwoord in de vorige stap in plaats van <key-vault-uri>. Daarnaast vindt u de sleutelnaam en sleutelversiewaarden in de kid waarde in het antwoord uit de vorige stap.
Een werkruimte maken of bijwerken:
Voorbeeld van het maken van een werkruimte met behulp van deze parameters voor beheerde schijven:
az databricks workspace create --name <workspace-name> \ --resource-group <resource-group-name> \ --location <location> \ --sku premium --disk-key-name <key-name> \ --disk-key-vault <key-vault-uri> \ --disk-key-version <key-version> \ --disk-key-auto-rotation <true-or-false>Voorbeeld van het bijwerken van een werkruimte met behulp van deze parameters voor beheerde schijven:
az databricks workspace update \ --name <workspace-name> \ --resource-group <resource-group-name> \ --disk-key-name <key-name> \ --disk-key-vault <key-vault-uri> \ --disk-key-version <key-version> \ --disk-key-auto-rotation <true-or-false>
In de uitvoer van een van deze opdrachten is er een
managedDiskIdentityobject. Sla de waarde van deprincipalIdeigenschap in dit object op. Dat wordt in een latere stap gebruikt als principal-id.Voeg een toegangsbeleid met sleutelmachtiging toe aan de Key Vault. Gebruik de kluisnaam en principal-id uit de vorige stappen:
az keyvault set-policy \ --name <key-vault-name> \ --object-id <principal-id> \ --key-permissions get wrapKey unwrapKey
PowerShell gebruiken (geen sjabloon)
Voeg voor zowel nieuwe als bijgewerkte werkruimten deze parameters toe aan uw opdracht:
location: Locatie van werkruimteManagedDiskKeyVaultPropertiesKeyName: SleutelnaamManagedDiskKeyVaultPropertiesKeyVaultUri: Key Vault-URIManagedDiskKeyVaultPropertiesKeyVersion: sleutelversie. Gebruik de specifieke sleutelversie en nietlatest.ManagedDiskRotationToLatestKeyVersionEnabled: Schakel automatische rotatie van de sleutel (trueoffalse) in. Dit is een optioneel veld. De standaardwaarde is onwaar.
Een werkruimte maken of bijwerken:
Voorbeeld van het maken van een werkruimte met parameters voor beheerde schijven:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -location $keyVault.Location \ -Sku premium \ -ManagedDiskKeyVaultPropertiesKeyName $key.Name \ -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \ -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabledVoorbeeld van het bijwerken van een werkruimte met behulp van parameters voor beheerde schijven:
$workspace = Update-AzDatabricksworkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -ManagedDiskKeyVaultPropertiesKeyName $key.Name \ -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \ -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabled
Voeg een toegangsbeleid met sleutelmachtigingen toe aan de Key Vault:
Set-AzKeyVaultAccessPolicy -VaultName $keyVault.VaultName \ -ObjectId $workspace.ManagedDiskIdentityPrincipalId \ -PermissionsToKeys wrapkey,unwrapkey,get
Een ARM-sjabloon gebruiken (Azure Portal of CLI)
U kunt Azure-quickstartsjablonen verkennen in de Azure-documentatie. Zie de arm-sjabloondocumentatie voor een lijst met implementatieopties voor ARM-sjablonen.
Wanneer u een werkruimte maakt, wordt er ook een schijfversleutelingssetresource gemaakt in de beheerde resourcegroep van uw werkruimte. Het heeft een door het systeem toegewezen beheerde identiteit die wordt gebruikt voor toegang tot uw Key Vault. Voordat Azure Databricks compute deze sleutel kan gebruiken om uw gegevens te versleutelen, moet u de principal-id van de schijfversleutelingsset ophalen en vervolgens de identiteit de GET, WRAPen UNWRAP sleutelmachtigingen verlenen aan uw Sleutelkluis.
Databricks raadt u aan om de werkruimte te maken of bij te werken en Key Vault-machtigingen te verlenen in dezelfde sjabloonimplementatie. U moet de werkruimte maken of bijwerken voordat u Key Vault-machtigingen verleent, met één uitzondering. Als u een bestaande door de klant beheerde sleutelwerkruimte van een beheerde schijf bijwerkt om een nieuwe sleutel in een nieuwe sleutelkluis te gebruiken, moet u de bestaande schijfversleutelingsset machtigen voor toegang tot de nieuwe Sleutelkluis en vervolgens de werkruimte bijwerken met de nieuwe sleutelconfiguratie.
De voorbeeldsjabloon in deze sectie doet het volgende:
- Hiermee maakt of werkt u een werkruimte bij om door de klant beheerde sleutelinstellingen voor beheerde schijven toe te voegen
- Verleent de schijfversleutelingsset toegang tot uw Key Vault
U kunt de volgende ARM-voorbeeldsjabloon gebruiken, die twee dingen doet:
- Een werkruimte maken of bijwerken met een door de klant beheerde schijfsleutel.
- Maak een sleuteltoegangsbeleid.
Als u al een ARM-sjabloon gebruikt, kunt u de parameters, resources en uitvoer van de voorbeeldsjabloon samenvoegen in uw bestaande sjabloon.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create"
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": [
"premium"
],
"metadata": {
"description": "The pricing tier of workspace"
}
},
"apiVersion": {
"type": "string",
"defaultValue": "2023-02-01",
"allowedValues": [
"2023-02-01",
"2022-04-01-preview"
],
"metadata": {
"description": "The API version to use to create the workspace resources"
}
},
"keyVaultName": {
"type": "string",
"metadata": {
"description": "The Key Vault name used for CMK"
}
},
"keyName": {
"type": "string",
"metadata": {
"description": "The key name used for CMK"
}
},
"keyVersion": {
"type": "string",
"metadata": {
"description": "The key version used for CMK. Use the specific key version and not `latest`."
}
},
"keyVaultResourceGroupName": {
"type": "string",
"metadata": {
"description": "The resource group name of the Key Vault used for CMK"
}
},
"enableAutoRotation": {
"type": "bool",
"defaultValue": false,
"allowedValues": [
true,
false
],
"metadata": {
"description": "Whether managed disk picks up new key versions automatically"
}
}
},
"variables": {
"managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"name": "[parameters('workspaceName')]",
"location": "[resourceGroup().location]",
"apiVersion": "[parameters('apiVersion')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[concat(subscription().id, '/resourceGroups/', variables('managedResourceGroupName'))]",
"encryption": {
"entities": {
"managedDisk": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[concat('https://', parameters('keyVaultName'), environment().suffixes.keyvaultDns)]",
"keyName": "[parameters('keyName')]",
"keyVersion": "[parameters('keyVersion')]"
},
"rotationToLatestKeyVersionEnabled": "[parameters('enableAutoRotation')]"
}
}
}
}
},
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2020-06-01",
"name": "addAccessPolicy",
"resourceGroup": "[parameters('keyVaultResourceGroupName')]",
"dependsOn": [
"[resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName'))]"
],
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "0.9.0.0",
"resources": [
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"apiVersion": "2019-09-01",
"name": "[concat(parameters('keyVaultName'), '/add')]",
"properties": {
"accessPolicies": [
{
"objectId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.principalId]",
"tenantId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.tenantId]",
"permissions": {
"keys": [
"get",
"wrapKey",
"unwrapKey"
]
}
}
]
}
}
]
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')))]"
}
}
}
Gebruik de sjabloon met de gewenste hulpprogramma's, waaronder Azure Portal, CLI of andere hulpprogramma's. Details zijn opgenomen voor de volgende sjabloonimplementatiestrategieën:
- Een ARM-sjabloon toepassen met behulp van Azure Portal
- Een ARM-sjabloon toepassen met behulp van de Azure CLI
Een ARM-sjabloon toepassen met behulp van Azure Portal
Ga als volgt te werk om een werkruimte te maken of bij te werken met behulp van een ARM-sjabloon in Azure Portal:
Meld u aan bij het Azure-portaal.
Klik op Een resource maken en klik vervolgens op Sjabloonimplementatie (implementeren met aangepaste sjablonen).
Klik op de pagina Aangepaste implementatie op Uw eigen sjabloon maken in de editor.
Plak de inhoud van de voorbeeldsjabloon in de editor.
Klik op Opslaan.
Voer de parameterwaarden in.
Als u een bestaande werkruimte wilt bijwerken, gebruikt u dezelfde parameters die u hebt gebruikt om de werkruimte te maken. Als u een door de klant beheerde sleutel voor de eerste keer wilt toevoegen, voegt u de sleutelgerelateerde parameters onder toe
resources.properties.encryption.entities.managedDisk, zoals wordt weergegeven in de bovenstaande sjabloon. Als u de sleutel wilt draaien, wijzigt u enkele of alle sleutelgerelateerde parameters.Belangrijk
Als u een werkruimte bijwerkt, moeten de naam van de resourcegroep en de werkruimtenaam in de sjabloon identiek zijn aan de naam van de resourcegroep en de werkruimtenaam van uw bestaande werkruimte.
Klik op Controleren + maken.
Los eventuele validatieproblemen op en klik vervolgens op Maken.
Belangrijk
Als u een sleutel roteert, verwijdert u de oude sleutel pas nadat de update van de werkruimte is voltooid.
Een ARM-sjabloon toepassen met behulp van de Azure CLI
In deze sectie wordt beschreven hoe u een werkruimte maakt of bijwerkt met uw sleutel met behulp van een ARM-sjabloon met de Azure CLI.
Controleer of uw sjabloon de sectie bevat voor
resources.properties.encryption.entities.managedDisken de bijbehorende parameterskeyvaultName,keyNameenkeyVersionkeyVaultResourceGroupName. Als deze niet aanwezig zijn, raadpleegt u eerder in deze sectie voor een voorbeeldsjabloon en voegt u deze samen in die sectie en de parameters in uw sjabloon.Voer de opdracht
az deployment group createuit. Als de naam van de resourcegroep en de naam van de werkruimte identiek zijn aan de naam van de resourcegroep en de naam van de werkruimte voor een bestaande werkruimte, wordt met deze opdracht de bestaande werkruimte bijgewerkt in plaats van een nieuwe werkruimte te maken. Als u een bestaande implementatie bijwerkt, moet u dezelfde resourcegroep en werkruimtenaam gebruiken als eerder is gebruikt.az deployment group create --resource-group <existing-resource-group-name> \ --template-file <file-name>.json \ --parameters workspaceName=<workspace-name> \ keyvaultName=<key-vault-name> \ keyName=<key-name> keyVersion=<key-version> \ keyVaultResourceGroupName=<key-vault-resource-group>Belangrijk
Als u een sleutel roteert, kunt u alleen de oude sleutel verwijderen nadat de werkruimte-update is voltooid.
Stap 5: Controleer of uw rekenresources gebruikmaken van uw sleutel (optioneel)
Ga als volgt te werk om te bevestigen dat de door de klant beheerde sleutelfunctie voor de beheerde schijf is ingeschakeld voor de werkruimte:
Haal de details van uw Azure Databricks-werkruimte op door een van de volgende handelingen uit te voeren:
Azure Portal
- Klik in Azure Portal op Werkruimten en klik vervolgens op de naam van uw werkruimte.
- Klik op de werkruimtepagina op de JSON-weergave.
- Klik op een API-versie die gelijk is aan of hoger is dan
2022-04-01-previewde API-versie.
Azure-CLI
Voer de volgende opdracht uit:
az databricks workspace show --resource-group <resource group name> --name <workspace name>De versleutelingsparameters voor beheerde schijven bevinden zich onder
properties. Voorbeeld:"properties": { "encryption": { "entities": { "managedDisk": { "keySource": "Microsoft.Keyvault", "keyVaultProperties": { "keyVaultUri": "<key-vault-uri>", "keyName": "<key-name>", "keyVersion": "<key-version>" }, "rotationToLatestKeyVersionEnabled": "<rotation-enabled>" } } }Powershell
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group-name> | Select-Object -Property ManagedDiskKeySource, ManagedDiskKeyVaultPropertiesKeyVaultUri, ManagedServicesKeyVaultPropertiesKeyName, ManagedServicesKeyVaultPropertiesKeyVersion, ManagedDiskRotationToLatestKeyVersionEnabledControleer de waarden voor de eigenschappen die worden geretourneerd in de uitvoer:
ManagedDiskKeySource : Microsoft.Keyvault ManagedDiskKeyVaultPropertiesKeyVaultUri : <key-vault-uri> ManagedServicesKeyVaultPropertiesKeyName : <key-name> ManagedServicesKeyVaultPropertiesKeyVersion : <key-version> ManagedDiskRotationToLatestKeyVersionEnabled : <rotation-enabled>
Maak een rekenresource voor uw werkruimte die moet worden gebruikt voor het testen:
Als een rekenresource niet kan worden gestart, komt dit meestal doordat u de juiste machtigingen voor schijfversleuteling moet verlenen voor toegang tot uw Key Vault.
Klik in Azure Portal op Werkruimten en klik vervolgens op de naam van uw werkruimte.
Klik op de werkruimtepagina op de naam van de beheerde resourcegroep waarin uw werkruimte zich bevindt.
Klik op de pagina resourcegroep onder Resources op de naam van een virtuele machine.
Klik aan de linkerkant van de pagina van de virtuele machine onder Instellingen op Schijven.
Controleer op de pagina schijven onder Gegevensschijven of het veld Versleuteling voor uw schijf de waarde
SSE with CMKheeft.
Stap 6: Eerder beëindigde rekenresources starten
- Zorg ervoor dat de update van de werkruimte is voltooid. Als de sleutel de enige wijziging in de sjabloon was, wordt dit doorgaans in minder dan vijf minuten voltooid, anders kan het langer duren.
- Start handmatig alle rekenresources die u eerder hebt beëindigd.
Als rekenresources niet kunnen worden gestart, komt dit meestal doordat u de schijfversleutelingsset machtigingen moet verlenen voor toegang tot uw Key Vault.
De sleutel op een later tijdstip draaien
Er zijn twee typen sleutelrotaties op een bestaande werkruimte die al een sleutel heeft:
- Automatische rotatie: als
rotationToLatestKeyVersionEnableddit voor uw werkruimte istrue, detecteert de schijfversleutelingsset de wijziging van de sleutelversie en verwijst deze naar de meest recente sleutelversie. - Handmatige rotatie: u kunt een bestaande werkruimte voor door de klant beheerde sleutels voor beheerde schijven bijwerken met een nieuwe sleutel. Volg de bovenstaande instructies alsof u in eerste instantie een sleutel aan een bestaande werkruimte toevoegt.
Problemen oplossen
Cluster mislukt met KeyVaultAccessForbidden
Het probleem is dat een cluster niet kan worden gestart met de volgende fout:
Cloud Provider Launch Failure: KeyVaultAccessForbidden
Toegang verlenen aan de versleutelingsset voor schijven die is gemaakt in de beheerde resourcegroep van uw werkruimte om toegang te krijgen tot uw Key Vault. Benodigde machtigingen: GET, WRAPKEY, UNWRAPKEY.
Lees de subsectie van Stap 4: Maak een werkruimte of werk deze bij opnieuw voor uw implementatietype en besteed speciale aandacht aan de update van het Key Vault-toegangsbeleid met specifieke machtigingen.
Sleutelparameters ontbreken
Het probleem is dat door de klant beheerde sleutelparameters voor beheerde schijven ontbreken.
Controleer of uw ARM-sjabloon de juiste API-versie voor de Microsoft.Databricks/workspaces resource gebruikt. De door de klant beheerde sleutelfunctie voor beheerde schijven is alleen beschikbaar met de API-versie die gelijk is aan of hoger is dan 2022-04-01-preview. Als u andere API-versies gebruikt, wordt de werkruimte gemaakt of bijgewerkt, maar worden parameters voor beheerde schijven genegeerd.
Bijwerken van werkruimte mislukt met ApplicationUpdateFail
Het probleem is dat een werkruimte-update- of patchbewerking mislukt voor een werkruimte waarvoor een beheerde schijf is ingeschakeld, met de volgende fout:
Failed to update application: `<workspace name>`, because patch resource group failure. (Code: ApplicationUpdateFail)
Versleutelingsset voor schijven verlenen toegang tot uw Key Vault en vervolgens werkruimte-updatebewerkingen uitvoeren, zoals het toevoegen van tags.
Toegangsbeleid ontbreekt
Het probleem is de volgende fout:
ERROR CODE: BadRequest MESSAGE: Invalid value found at accessPolicies[14].ObjectId: <objectId>
Het toegangsbeleid met de bovenstaande object-id is ongeldig in uw Key Vault. U moet deze verwijderen om nieuw toegangsbeleid toe te voegen aan uw Key Vault.
Verloren sleutels zijn onherstelbaar
Verloren sleutels kunnen niet worden hersteld. Als u uw sleutel verliest of intrekt en deze niet kunt herstellen, werken de rekenresources van Azure Databricks niet meer. Andere functies van de werkruimte worden niet beïnvloed.
Weg
- Beheerde Azure-schijven in de Azure-documentatie
- Versleuteling aan de serverzijde van Azure Disk Storage in de Azure-documentatie