Delen via


Door de klant beheerde sleutels configureren voor beheerde Azure-schijven

Azure Databricks-rekenworkloads in het rekenvlak slaan tijdelijke gegevens op door Azure beheerde schijven op. Standaard worden gegevens die zijn opgeslagen op beheerde schijven versleuteld met behulp van versleuteling aan de serverzijde met door Microsoft beheerde sleutels. In dit artikel wordt beschreven hoe u een door de klant beheerde sleutel configureert vanuit Azure Key Vault-kluizen voor uw Azure Databricks-werkruimte voor gebruik voor versleuteling van beheerde schijven. Zie HSM door de klant beheerde HSM-sleutels configureren voor door Azure beheerde schijven voor instructies over het gebruik van een sleutel uit Azure Key Vault HSM.

Belangrijk

  • Door de klant beheerde sleutels voor beheerde schijfopslag zijn van toepassing op gegevensschijven, maar zijn niet van toepassing op besturingssysteemschijven.
  • Door de klant beheerde sleutels voor beheerde schijfopslag zijn niet van toepassing op serverloze rekenresources, zoals serverloze SQL-warehouses en Model Serving. Schijven die worden gebruikt voor serverloze rekenresources zijn van korte duur en gekoppeld aan de levenscyclus van de serverloze workload. Wanneer rekenresources worden gestopt of omlaag worden geschaald, worden de VM's en hun opslag vernietigd.

Vereisten

Stap 1: Een sleutelkluis maken

U kunt een Key Vault op veel manieren maken, waaronder Azure Portal, Azure CLI, Powershell en eventueel ARM-sjablonen. De volgende secties bevatten procedures voor het gebruik van Azure CLI en PowerShell. Raadpleeg de Microsoft-documentatie voor andere benaderingen.

Azure CLI gebruiken

  1. Een sleutelkluis maken:

    az keyvault create --name <keyVaultName> --resource-group <resourceGroupName> --location <location> --sku <sku> --enable-purge-protection
    
  2. Haal de kluis-URI op:

    az keyvault show --name <key-vault-name>
    

    Kopieer de vaultUri waarde uit het antwoord.

Powershell gebruiken

Een nieuwe kluis maken:

$keyVault = New-AzKeyVault -Name <key-vault-name> -ResourceGroupName <resource-group-name> -Location <location> -Sku <sku> -EnablePurgeProtection

Een bestaande sleutelkluis ophalen:

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

Stap 2: Een sleutel voorbereiden

U kunt een sleutel maken of een bestaande sleutel ophalen die is opgeslagen in Azure Key Vault met behulp van Azure Portal, Azure CLI, Powershell en eventueel arm-sjablonen. Deze sectie bevat procedures voor Azure CLI en PowerShell. Zie de documentatie voor Azure-sleutels voor andere manieren.

Azure CLI gebruiken

U kunt een sleutel maken of een bestaande sleutel ophalen.

Een sleutel maken:

  1. Voer de volgende opdracht uit:

    az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name> \
    --protection software
    
  2. Noteer de volgende waarden uit de uitvoer:

    • Sleutelkluisnaam: de naam van uw Sleutelkluis
    • Sleutelnaam: de naam van uw sleutel
    • Sleutelversie: de versie van uw sleutel.
    • Key Vault-resourcegroep: de resourcegroep van uw Key Vault
  3. Sleutelinformatie ophalen:

    az keyvault key show --vault-name <keyVaultName> --name <keyName>
    

    Kopieer de waarde van het kid veld, wat uw sleutel-id is.

    De volledige sleutel-id heeft meestal het formulier https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>. Azure Key Vault-sleutels die zich in een niet-openbare cloud bevinden, hebben een andere vorm.

Een bestaande sleutel ophalen:

  1. Voer de volgende opdracht uit:

    az keyvault key show --name <key-name> --vault-name <key-vault-name>
    
  2. Noteer de volgende gegevens voor uw bestaande sleutel:

    • Sleutelkluisnaam: de naam van uw sleutelkluis.
    • Sleutelnaam: de naam van uw sleutel.
    • Sleutelversie: de versie van uw sleutel.
    • Key Vault-resourcegroep: de resourcegroep van uw Key Vault.
  3. Sleutelinformatie ophalen:

    az keyvault key show --vault-name <keyVaultName> --name <keyName>
    

    Kopieer de waarde van het kid veld, wat uw sleutel-id is.

    De volledige sleutel-id heeft meestal het formulier https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>. Azure Key Vault-sleutels die zich in een niet-openbare cloud bevinden, hebben een andere vorm.

  4. Controleer of uw bestaande sleutel is ingeschakeld voordat u doorgaat door opnieuw uit te voeren az keyvault key show --name <key name> . De uitvoer wordt weergegeven "enabled": true.

Powershell gebruiken

  1. Als u van plan bent een sleutel te maken, moet u mogelijk het toegangsbeleid instellen, afhankelijk van hoe en wanneer u deze hebt gemaakt. Als u bijvoorbeeld onlangs de Sleutelkluis hebt gemaakt met behulp van PowerShell, heeft uw nieuwe Sleutelkluis mogelijk geen toegangsbeleid nodig om een sleutel te maken. In het volgende voorbeeld wordt de EmailAddress parameter gebruikt om het beleid in te stellen. Zie het Microsoft-artikel over Set-AzKeyVaultAccessPolicy voor verwante informatie.

    Stel het toegangsbeleid in voor een nieuwe Sleutelkluis:

    Set-AzKeyVaultAccessPolicy \
    -VaultName $keyVault.VaultName \
    -PermissionsToKeys all \
    -EmailAddress <email-address>
    
  2. U kunt een sleutel maken of een bestaande sleutel ophalen:

    • Een sleutel maken:

      $key = Add-AzKeyVaultKey \
      -VaultName $keyVault.VaultName \
      -Name <key-name> \
      -Destination 'Software'
      
    • Een bestaande sleutel ophalen:

      $key = Get-AzKeyVaultKey \
      -VaultName $keyVault.VaultName \
      -Name <key-name>
      

Stap 3: Alle rekenresources stoppen

Beëindig alle rekenresources (clusters, pools en SQL-warehouses) in uw werkruimte.

Stap 4: Een werkruimte maken of bijwerken

Als u een werkruimte wilt maken of bijwerken met een door de klant beheerde sleutel voor beheerde schijven, kiest u een van de volgende implementatiestrategieën:

Azure Portal gebruiken (geen sjabloon)

In deze sectie wordt beschreven hoe u Azure Portal gebruikt om een werkruimte te maken of bij te werken met door de klant beheerde sleutels voor beheerde schijven zonder een sjabloon te gebruiken.

  1. Begin met het maken of bijwerken van een werkruimte:

    Maak een nieuwe werkruimte met een sleutel:

    1. Ga naar de startpagina van Azure Portal en klik op Een resource maken in de linkerbovenhoek van de pagina.
    2. Typ Azure Databricks en klik in de zoekbalk op Azure Databricks.
    3. Selecteer Maken in de Azure Databricks-widget.
    4. Voer waarden in de formuliervelden in op de tabbladen Basisbeginselen en Netwerken.
    5. Schakel op het tabblad Versleuteling het selectievakje Uw eigen sleutel gebruiken in de sectie Beheerde schijven in.

    Voeg in eerste instantie een sleutel toe aan een bestaande werkruimte:

    1. Ga naar de startpagina van Azure Portal voor Azure Databricks.
    2. Navigeer naar uw bestaande Azure Databricks-werkruimte.
    3. Open het tabblad Versleuteling vanuit het linkerdeelvenster.
    4. Schakel managed disks in onder de sectie Door de klant beheerde sleutels in.
  2. Stel de versleutelingsvelden in.

    • Plak in het veld Sleutel-id de sleutel-id van uw Azure Key Vault-sleutel.
    • Voer in de vervolgkeuzelijst Abonnement de naam van uw Azure Key Vault-sleutel in.
    • Als u automatische rotatie van uw sleutel wilt inschakelen, schakelt u Automatisch draaien van sleutel in.
  3. Voltooi de resterende tabbladen en klik op Controleren en maken (voor nieuwe werkruimte) of Opslaan (voor het bijwerken van een werkruimte).

  4. Nadat uw werkruimte is geïmplementeerd, gaat u naar uw nieuwe Azure Databricks-werkruimte.

  5. Klik op het tabblad Overzicht van uw Azure Databricks-werkruimte op Beheerde resourcegroep.

  6. Zoek op het tabblad Overzicht van de beheerde resourcegroep naar het object van het type Schijfversleutelingsset dat in deze resourcegroep is gemaakt. Kopieer de naam van de schijfversleutelingsset.

  7. Ga in Azure Portal naar de Azure Key Vault die is gebruikt voor het configureren van de sleutel die u voor deze functie gebruikt.

  8. Open het tabblad Toegangsbeleid in het linkerdeelvenster. Zodra het tabblad is geopend, klikt u boven aan de pagina op Maken .

  9. Schakel op het tabblad Machtigingen onder de sectie Sleutelmachtigingen Get, Unwrap Key en Wrap in.

  10. Klik op Volgende.

  11. Voer op het tabblad Principal de naam in van de schijfversleutelingsset in de beheerde resourcegroep van uw Azure Databricks-werkruimte in de zoekbalk. Selecteer het resultaat en klik op Volgende.

    Voer de naam van de schijfversleutelingsset in en selecteer het resultaat

  12. Klik op het tabblad Controleren en maken en klik op Maken.

De Azure CLI gebruiken (geen sjabloon)

Voeg voor zowel nieuwe als bijgewerkte werkruimten deze parameters toe aan uw opdracht:

  • disk-key-name: Naam van de sleutel
  • disk-key-vault: Naam van de kluis
  • disk-key-version: sleutelversie. Gebruik de specifieke sleutelversie en niet latest.
  • disk-key-auto-rotation: Schakel automatische rotatie van de sleutel (true of false) in. Dit is een optioneel veld. De standaardwaarde is false.

Gebruik in de volgende opdrachten de waarde van de kluis-URI uit het antwoord in de vorige stap in plaats van <key-vault-uri>. Daarnaast vindt u de sleutelnaam en sleutelversiewaarden in de kid waarde in het antwoord uit de vorige stap.

  1. Een werkruimte maken of bijwerken:

    • Voorbeeld van het maken van een werkruimte met behulp van deze parameters voor beheerde schijven:

      az databricks workspace create --name <workspace-name> \
      --resource-group <resource-group-name> \
      --location <location> \
      --sku premium --disk-key-name <key-name> \
      --disk-key-vault <key-vault-uri> \
      --disk-key-version <key-version> \
      --disk-key-auto-rotation <true-or-false>
      
    • Voorbeeld van het bijwerken van een werkruimte met behulp van deze parameters voor beheerde schijven:

      az databricks workspace update \
      --name <workspace-name> \
      --resource-group <resource-group-name> \
      --disk-key-name <key-name> \
      --disk-key-vault <key-vault-uri> \
      --disk-key-version <key-version> \
      --disk-key-auto-rotation <true-or-false>
      

    In de uitvoer van een van deze opdrachten is er een managedDiskIdentity object. Sla de waarde van de principalId eigenschap in dit object op. Dat wordt in een latere stap gebruikt als principal-id.

  2. Voeg een toegangsbeleid met sleutelmachtiging toe aan de Key Vault. Gebruik de kluisnaam en principal-id uit de vorige stappen:

    az keyvault set-policy \
    --name <key-vault-name> \
    --object-id <principal-id> \
    --key-permissions get wrapKey unwrapKey
    

PowerShell gebruiken (geen sjabloon)

Voeg voor zowel nieuwe als bijgewerkte werkruimten deze parameters toe aan uw opdracht:

  • location: Locatie van werkruimte
  • ManagedDiskKeyVaultPropertiesKeyName: Sleutelnaam
  • ManagedDiskKeyVaultPropertiesKeyVaultUri: Key Vault-URI
  • ManagedDiskKeyVaultPropertiesKeyVersion: sleutelversie. Gebruik de specifieke sleutelversie en niet latest.
  • ManagedDiskRotationToLatestKeyVersionEnabled: Schakel automatische rotatie van de sleutel (true of false) in. Dit is een optioneel veld. De standaardwaarde is onwaar.
  1. Een werkruimte maken of bijwerken:

    • Voorbeeld van het maken van een werkruimte met parameters voor beheerde schijven:

      $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
      -ResourceGroupName <resource-group-name> \
      -location $keyVault.Location \
      -Sku premium \
      -ManagedDiskKeyVaultPropertiesKeyName $key.Name \
      -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \
      -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabled
      
    • Voorbeeld van het bijwerken van een werkruimte met behulp van parameters voor beheerde schijven:

      $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
      -ResourceGroupName <resource-group-name> \
      -ManagedDiskKeyVaultPropertiesKeyName $key.Name \
      -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \
      -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabled
      
  2. Voeg een toegangsbeleid met sleutelmachtigingen toe aan de Key Vault:

    Set-AzKeyVaultAccessPolicy -VaultName $keyVault.VaultName \
    -ObjectId $workspace.ManagedDiskIdentityPrincipalId \
    -PermissionsToKeys wrapkey,unwrapkey,get
    

Een ARM-sjabloon gebruiken (Azure Portal of CLI)

U kunt Azure-quickstartsjablonen verkennen in de Azure-documentatie. Zie de arm-sjabloondocumentatie voor een lijst met implementatieopties voor ARM-sjablonen.

Wanneer u een werkruimte maakt, wordt er ook een schijfversleutelingssetresource gemaakt in de beheerde resourcegroep van uw werkruimte. Het heeft een door het systeem toegewezen beheerde identiteit die wordt gebruikt voor toegang tot uw Key Vault. Voordat Azure Databricks compute deze sleutel kan gebruiken om uw gegevens te versleutelen, moet u de principal-id van de schijfversleutelingsset ophalen en vervolgens de identiteit de GET, WRAPen UNWRAP sleutelmachtigingen verlenen aan uw Sleutelkluis.

Databricks raadt u aan om de werkruimte te maken of bij te werken en Key Vault-machtigingen te verlenen in dezelfde sjabloonimplementatie. U moet de werkruimte maken of bijwerken voordat u Key Vault-machtigingen verleent, met één uitzondering. Als u een bestaande door de klant beheerde sleutelwerkruimte van een beheerde schijf bijwerkt om een nieuwe sleutel in een nieuwe sleutelkluis te gebruiken, moet u de bestaande schijfversleutelingsset machtigen voor toegang tot de nieuwe Sleutelkluis en vervolgens de werkruimte bijwerken met de nieuwe sleutelconfiguratie.

De voorbeeldsjabloon in deze sectie doet het volgende:

  • Hiermee maakt of werkt u een werkruimte bij om door de klant beheerde sleutelinstellingen voor beheerde schijven toe te voegen
  • Verleent de schijfversleutelingsset toegang tot uw Key Vault

U kunt de volgende ARM-voorbeeldsjabloon gebruiken, die twee dingen doet:

  • Een werkruimte maken of bijwerken met een door de klant beheerde schijfsleutel.
  • Maak een sleuteltoegangsbeleid.

Als u al een ARM-sjabloon gebruikt, kunt u de parameters, resources en uitvoer van de voorbeeldsjabloon samenvoegen in uw bestaande sjabloon.

{
   "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
       "workspaceName": {
           "type": "string",
           "metadata": {
               "description": "The name of the Azure Databricks workspace to create"
           }
       },
       "pricingTier": {
           "type": "string",
           "defaultValue": "premium",
           "allowedValues": [
               "premium"
           ],
           "metadata": {
               "description": "The pricing tier of workspace"
           }
       },
       "apiVersion": {
           "type": "string",
           "defaultValue": "2023-02-01",
           "allowedValues": [
               "2023-02-01",
               "2022-04-01-preview"
           ],
           "metadata": {
               "description": "The API version to use to create the workspace resources"
           }
       },
       "keyVaultName": {
           "type": "string",
           "metadata": {
               "description": "The Key Vault name used for CMK"
           }
       },
       "keyName": {
           "type": "string",
           "metadata": {
               "description": "The key name used for CMK"
           }
       },
       "keyVersion": {
           "type": "string",
           "metadata": {
               "description": "The key version used for CMK. Use the specific key version and not `latest`."
           }
       },
       "keyVaultResourceGroupName": {
           "type": "string",
           "metadata": {
               "description": "The resource group name of the Key Vault used for CMK"
           }
       },
       "enableAutoRotation": {
           "type": "bool",
           "defaultValue": false,
           "allowedValues": [
               true,
               false
           ],
           "metadata": {
               "description": "Whether managed disk picks up new key versions automatically"
           }
       }
   },
   "variables": {
       "managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]"
   },
   "resources": [
       {
           "type": "Microsoft.Databricks/workspaces",
           "name": "[parameters('workspaceName')]",
           "location": "[resourceGroup().location]",
           "apiVersion": "[parameters('apiVersion')]",
           "sku": {
               "name": "[parameters('pricingTier')]"
           },
           "properties": {
               "managedResourceGroupId": "[concat(subscription().id, '/resourceGroups/', variables('managedResourceGroupName'))]",
               "encryption": {
                   "entities": {
                       "managedDisk": {
                           "keySource": "Microsoft.Keyvault",
                           "keyVaultProperties": {
                               "keyVaultUri": "[concat('https://', parameters('keyVaultName'), environment().suffixes.keyvaultDns)]",
                               "keyName": "[parameters('keyName')]",
                               "keyVersion": "[parameters('keyVersion')]"
                           },
                           "rotationToLatestKeyVersionEnabled": "[parameters('enableAutoRotation')]"
                       }
                   }
               }
           }
       },
       {
           "type": "Microsoft.Resources/deployments",
           "apiVersion": "2020-06-01",
           "name": "addAccessPolicy",
           "resourceGroup": "[parameters('keyVaultResourceGroupName')]",
           "dependsOn": [
               "[resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName'))]"
           ],
           "properties": {
               "mode": "Incremental",
               "template": {
                   "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
                   "contentVersion": "0.9.0.0",
                   "resources": [
                       {
                           "type": "Microsoft.KeyVault/vaults/accessPolicies",
                           "apiVersion": "2019-09-01",
                           "name": "[concat(parameters('keyVaultName'), '/add')]",
                           "properties": {
                               "accessPolicies": [
                                   {
                                       "objectId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.principalId]",
                                       "tenantId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.tenantId]",
                                       "permissions": {
                                           "keys": [
                                               "get",
                                               "wrapKey",
                                               "unwrapKey"
                                           ]
                                       }
                                   }
                               ]
                           }
                       }
                   ]
               }
           }
       }
   ],
   "outputs": {
       "workspace": {
           "type": "object",
           "value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')))]"
       }
   }
}

Gebruik de sjabloon met de gewenste hulpprogramma's, waaronder Azure Portal, CLI of andere hulpprogramma's. Details zijn opgenomen voor de volgende sjabloonimplementatiestrategieën:

Een ARM-sjabloon toepassen met behulp van Azure Portal

Ga als volgt te werk om een werkruimte te maken of bij te werken met behulp van een ARM-sjabloon in Azure Portal:

  1. Meld u aan bij het Azure-portaal.

  2. Klik op Een resource maken en klik vervolgens op Sjabloonimplementatie (implementeren met aangepaste sjablonen).

  3. Klik op de pagina Aangepaste implementatie op Uw eigen sjabloon maken in de editor.

  4. Plak de inhoud van de voorbeeldsjabloon in de editor.

    Implementatiepagina van de aangepaste Azure-implementatieportal bewerken

  5. Klik op Opslaan.

  6. Voer de parameterwaarden in.

    Als u een bestaande werkruimte wilt bijwerken, gebruikt u dezelfde parameters die u hebt gebruikt om de werkruimte te maken. Als u een door de klant beheerde sleutel voor de eerste keer wilt toevoegen, voegt u de sleutelgerelateerde parameters onder toe resources.properties.encryption.entities.managedDisk , zoals wordt weergegeven in de bovenstaande sjabloon. Als u de sleutel wilt draaien, wijzigt u enkele of alle sleutelgerelateerde parameters.

    Belangrijk

    Als u een werkruimte bijwerkt, moeten de naam van de resourcegroep en de werkruimtenaam in de sjabloon identiek zijn aan de naam van de resourcegroep en de werkruimtenaam van uw bestaande werkruimte.

    Pagina met projectdetails van de aangepaste Azure-implementatieportal

  7. Klik op Controleren + maken.

  8. Los eventuele validatieproblemen op en klik vervolgens op Maken.

Belangrijk

Als u een sleutel roteert, verwijdert u de oude sleutel pas nadat de update van de werkruimte is voltooid.

Een ARM-sjabloon toepassen met behulp van de Azure CLI

In deze sectie wordt beschreven hoe u een werkruimte maakt of bijwerkt met uw sleutel met behulp van een ARM-sjabloon met de Azure CLI.

  1. Controleer of uw sjabloon de sectie bevat voor resources.properties.encryption.entities.managedDisk en de bijbehorende parameterskeyvaultName, keyNameen keyVersionkeyVaultResourceGroupName. Als deze niet aanwezig zijn, raadpleegt u eerder in deze sectie voor een voorbeeldsjabloon en voegt u deze samen in die sectie en de parameters in uw sjabloon.

  2. Voer de opdracht az deployment group create uit. Als de naam van de resourcegroep en de naam van de werkruimte identiek zijn aan de naam van de resourcegroep en de naam van de werkruimte voor een bestaande werkruimte, wordt met deze opdracht de bestaande werkruimte bijgewerkt in plaats van een nieuwe werkruimte te maken. Als u een bestaande implementatie bijwerkt, moet u dezelfde resourcegroep en werkruimtenaam gebruiken als eerder is gebruikt.

    az deployment group create --resource-group <existing-resource-group-name>  \
                               --template-file <file-name>.json \
                               --parameters workspaceName=<workspace-name> \
                                            keyvaultName=<key-vault-name> \
                                            keyName=<key-name> keyVersion=<key-version> \
                                            keyVaultResourceGroupName=<key-vault-resource-group>
    

    Belangrijk

    Als u een sleutel roteert, kunt u alleen de oude sleutel verwijderen nadat de werkruimte-update is voltooid.

Stap 5: Controleer of uw rekenresources gebruikmaken van uw sleutel (optioneel)

Ga als volgt te werk om te bevestigen dat de door de klant beheerde sleutelfunctie voor de beheerde schijf is ingeschakeld voor de werkruimte:

  1. Haal de details van uw Azure Databricks-werkruimte op door een van de volgende handelingen uit te voeren:

    • Azure Portal

      1. Klik in Azure Portal op Werkruimten en klik vervolgens op de naam van uw werkruimte.
      2. Klik op de werkruimtepagina op de JSON-weergave.
      3. Klik op een API-versie die gelijk is aan of hoger is dan 2022-04-01-preview de API-versie.
    • Azure-CLI

      Voer de volgende opdracht uit:

      az databricks workspace show --resource-group <resource group name> --name <workspace name>
      

      De versleutelingsparameters voor beheerde schijven bevinden zich onder properties. Voorbeeld:

      "properties": {
           "encryption": {
               "entities": {
                   "managedDisk": {
                     "keySource": "Microsoft.Keyvault",
                     "keyVaultProperties": {
                         "keyVaultUri": "<key-vault-uri>",
                         "keyName": "<key-name>",
                         "keyVersion": "<key-version>"
                     },
                     "rotationToLatestKeyVersionEnabled": "<rotation-enabled>"
                 }
            }
        }
      
    • Powershell

      Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group-name> |
        Select-Object -Property ManagedDiskKeySource,
         ManagedDiskKeyVaultPropertiesKeyVaultUri,
         ManagedServicesKeyVaultPropertiesKeyName,
         ManagedServicesKeyVaultPropertiesKeyVersion,
         ManagedDiskRotationToLatestKeyVersionEnabled
      

      Controleer de waarden voor de eigenschappen die worden geretourneerd in de uitvoer:

      ManagedDiskKeySource                           : Microsoft.Keyvault
      ManagedDiskKeyVaultPropertiesKeyVaultUri       : <key-vault-uri>
      ManagedServicesKeyVaultPropertiesKeyName       : <key-name>
      ManagedServicesKeyVaultPropertiesKeyVersion    : <key-version>
      ManagedDiskRotationToLatestKeyVersionEnabled   : <rotation-enabled>
      
  2. Maak een rekenresource voor uw werkruimte die moet worden gebruikt voor het testen:

    Als een rekenresource niet kan worden gestart, komt dit meestal doordat u de juiste machtigingen voor schijfversleuteling moet verlenen voor toegang tot uw Key Vault.

  3. Klik in Azure Portal op Werkruimten en klik vervolgens op de naam van uw werkruimte.

  4. Klik op de werkruimtepagina op de naam van de beheerde resourcegroep waarin uw werkruimte zich bevindt.

  5. Klik op de pagina resourcegroep onder Resources op de naam van een virtuele machine.

  6. Klik aan de linkerkant van de pagina van de virtuele machine onder Instellingen op Schijven.

    Controleer op de pagina schijven onder Gegevensschijven of het veld Versleuteling voor uw schijf de waarde SSE with CMKheeft.

Stap 6: Eerder beëindigde rekenresources starten

  1. Zorg ervoor dat de update van de werkruimte is voltooid. Als de sleutel de enige wijziging in de sjabloon was, wordt dit doorgaans in minder dan vijf minuten voltooid, anders kan het langer duren.
  2. Start handmatig alle rekenresources die u eerder hebt beëindigd.

Als rekenresources niet kunnen worden gestart, komt dit meestal doordat u de schijfversleutelingsset machtigingen moet verlenen voor toegang tot uw Key Vault.

De sleutel op een later tijdstip draaien

Er zijn twee typen sleutelrotaties op een bestaande werkruimte die al een sleutel heeft:

  • Automatische rotatie: als rotationToLatestKeyVersionEnabled dit voor uw werkruimte is true , detecteert de schijfversleutelingsset de wijziging van de sleutelversie en verwijst deze naar de meest recente sleutelversie.
  • Handmatige rotatie: u kunt een bestaande werkruimte voor door de klant beheerde sleutels voor beheerde schijven bijwerken met een nieuwe sleutel. Volg de bovenstaande instructies alsof u in eerste instantie een sleutel aan een bestaande werkruimte toevoegt.

Problemen oplossen

Cluster mislukt met KeyVaultAccessForbidden

Het probleem is dat een cluster niet kan worden gestart met de volgende fout:

Cloud Provider Launch Failure: KeyVaultAccessForbidden

Toegang verlenen aan de versleutelingsset voor schijven die is gemaakt in de beheerde resourcegroep van uw werkruimte om toegang te krijgen tot uw Key Vault. Benodigde machtigingen: GET, WRAPKEY, UNWRAPKEY.

Lees de subsectie van Stap 4: Maak een werkruimte of werk deze bij opnieuw voor uw implementatietype en besteed speciale aandacht aan de update van het Key Vault-toegangsbeleid met specifieke machtigingen.

Sleutelparameters ontbreken

Het probleem is dat door de klant beheerde sleutelparameters voor beheerde schijven ontbreken.

Controleer of uw ARM-sjabloon de juiste API-versie voor de Microsoft.Databricks/workspaces resource gebruikt. De door de klant beheerde sleutelfunctie voor beheerde schijven is alleen beschikbaar met de API-versie die gelijk is aan of hoger is dan 2022-04-01-preview. Als u andere API-versies gebruikt, wordt de werkruimte gemaakt of bijgewerkt, maar worden parameters voor beheerde schijven genegeerd.

Bijwerken van werkruimte mislukt met ApplicationUpdateFail

Het probleem is dat een werkruimte-update- of patchbewerking mislukt voor een werkruimte waarvoor een beheerde schijf is ingeschakeld, met de volgende fout:

Failed to update application: `<workspace name>`, because patch resource group failure. (Code: ApplicationUpdateFail)

Versleutelingsset voor schijven verlenen toegang tot uw Key Vault en vervolgens werkruimte-updatebewerkingen uitvoeren, zoals het toevoegen van tags.

Toegangsbeleid ontbreekt

Het probleem is de volgende fout:

ERROR CODE: BadRequest MESSAGE: Invalid value found at accessPolicies[14].ObjectId: <objectId>

Het toegangsbeleid met de bovenstaande object-id is ongeldig in uw Key Vault. U moet deze verwijderen om nieuw toegangsbeleid toe te voegen aan uw Key Vault.

Verloren sleutels zijn onherstelbaar

Verloren sleutels kunnen niet worden hersteld. Als u uw sleutel verliest of intrekt en deze niet kunt herstellen, werken de rekenresources van Azure Databricks niet meer. Andere functies van de werkruimte worden niet beïnvloed.

Weg