Konfigurera kundhanterade nycklar för Azure Managed Disks
Azure Databricks-beräkningsarbetsbelastningar i beräkningsplanet lagrar tillfälliga data på Azure-hanterade diskar. Som standard krypteras data som lagras på hanterade diskar i viloläge med kryptering på serversidan med Microsoft-hanterade nycklar. Den här artikeln beskriver hur du konfigurerar en kundhanterad nyckel från Azure Key Vault-valv för din Azure Databricks-arbetsyta som ska användas för kryptering av hanterade diskar. Anvisningar om hur du använder en nyckel från Azure Key Vault HSM finns i Konfigurera kundhanterade HSM-nycklar för Azure-hanterade diskar.
Viktigt!
- Kundhanterade nycklar för hanterad disklagring gäller för datadiskar, men gäller inte operativsystemdiskar (OS).
- Kundhanterade nycklar för hanterad disklagring gäller inte för serverlösa beräkningsresurser som serverlösa SQL-lager och modellservering. Diskarna som används för serverlösa beräkningsresurser är kortvariga och knutna till livscykeln för den serverlösa arbetsbelastningen. När beräkningsresurser stoppas eller skalas ned förstörs de virtuella datorerna och deras lagring.
Krav
Din Azure Databricks-arbetsyta måste finnas i Premium-planen.
Din Azure Key Vault- och Azure Databricks-arbetsyta måste finnas i samma region och i samma Microsoft Entra-ID-klientorganisation. De kan vara i olika prenumerationer.
Om du vill aktivera automatisk rotation stöds endast programvarunycklar och HSM RSA med storlekar 2048-bitars, 3072- och 4096-bitars.
Den här funktionen stöds inte för arbetsytor med FedRAMP-efterlevnad. Kontakta ditt Azure Databricks-kontoteam om du vill ha mer information.
Om du vill använda Azure CLI för dessa uppgifter installerar du Azure CLI-verktyget och installerar Databricks-tillägget:
az extension add --name databricksOm du vill använda PowerShell för dessa uppgifter installerar du Azure PowerShell och installerar Databricks Powershell-modulen. Du måste också logga in:
Connect-AzAccountInformation om hur du loggar in på ditt Azure-konto som användare finns i PowerShell-inloggning med ett Azure Databricks-användarkonto. Information om hur du loggar in på ditt Azure-konto som tjänstens huvudnamn finns i PowerShell-inloggning med tjänstens huvudnamn för Microsoft Entra-ID.
Steg 1: Skapa ett Nyckelvalv
Du kan skapa ett Key Vault på många sätt, till exempel Azure Portal, Azure CLI, Powershell och eventuellt använda ARM-mallar. Följande avsnitt innehåller procedurer för att använda Azure CLI och Powershell. Andra metoder finns i Microsoft-dokumentationen.
Använda Azure CLI
Skapa ett nyckelvalv:
az keyvault create --name <keyVaultName> --resource-group <resourceGroupName> --location <location> --sku <sku> --enable-purge-protectionHämta valv-URI:n:
az keyvault show --name <key-vault-name>Kopiera värdet
vaultUrifrån svaret.
Använd Powershell
Skapa ett nytt valv:
$keyVault = New-AzKeyVault -Name <key-vault-name> -ResourceGroupName <resource-group-name> -Location <location> -Sku <sku> -EnablePurgeProtection
Hämta ett befintligt Nyckelvalv:
$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
Steg 2: Förbereda en nyckel
Du kan skapa en nyckel eller hämta en befintlig nyckel som lagras i Azure Key Vault med hjälp av Azure Portal, Azure CLI, Powershell och eventuellt använda ARM-mallar. Det här avsnittet innehåller procedurer för Azure CLI och Powershell. Andra sätt finns i dokumentationen om Azure-nycklar.
Använda Azure CLI
Du kan antingen skapa en nyckel eller hämta en befintlig nyckel.
Skapa en nyckel:
Kör följande kommando:
az keyvault key create \ --name <key-name> \ --vault-name <key-vault-name> \ --protection softwareAnteckna följande värden från utdata:
- Nyckelvalvsnamn: Namnet på ditt Key Vault
- Nyckelnamn: Namnet på din nyckel
- Nyckelversion: Versionen av nyckeln.
- Nyckelvalvsresursgrupp: Resursgruppen för ditt Key Vault
Hämta nyckelinformation:
az keyvault key show --vault-name <keyVaultName> --name <keyName>Kopiera värdet för fältet
kid, vilket är ditt nyckel-ID.Det fullständiga nyckel-ID:t har vanligtvis formuläret
https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>. Azure Key Vault-nycklar som finns i ett icke-offentligt moln har ett annat formulär.
Hämta en befintlig nyckel:
Kör följande kommando:
az keyvault key show --name <key-name> --vault-name <key-vault-name>Anteckna följande information för din befintliga nyckel:
- Nyckelvalvsnamn: Namnet på ditt Key Vault.
- Nyckelnamn: Namnet på din nyckel.
- Nyckelversion: Versionen av nyckeln.
- Resursgrupp för nyckelvalv: Resursgruppen för ditt Nyckelvalv.
Hämta nyckelinformation:
az keyvault key show --vault-name <keyVaultName> --name <keyName>Kopiera värdet för fältet
kid, vilket är ditt nyckel-ID.Det fullständiga nyckel-ID:t har vanligtvis formuläret
https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>. Azure Key Vault-nycklar som finns i ett icke-offentligt moln har ett annat formulär.Bekräfta att din befintliga nyckel är aktiverad innan du fortsätter genom att köra
az keyvault key show --name <key name>igen. Utdata visar"enabled": true.
Använd Powershell
Om du planerar att skapa en nyckel kan du behöva ange åtkomstprincipen, beroende på hur och när du skapade den. Om du till exempel nyligen skapade Key Vault med PowerShell kanske det nya Nyckelvalvet saknar den åtkomstprincip som krävs för att skapa en nyckel. I följande exempel används parametern
EmailAddressför att ange principen. Mer information finns i Microsoft-artikeln om Set-AzKeyVaultAccessPolicy.Ange åtkomstprincipen för ett nytt Key Vault:
Set-AzKeyVaultAccessPolicy \ -VaultName $keyVault.VaultName \ -PermissionsToKeys all \ -EmailAddress <email-address>Du kan antingen skapa en nyckel eller hämta en befintlig nyckel:
Skapa en nyckel:
$key = Add-AzKeyVaultKey \ -VaultName $keyVault.VaultName \ -Name <key-name> \ -Destination 'Software'Hämta en befintlig nyckel:
$key = Get-AzKeyVaultKey \ -VaultName $keyVault.VaultName \ -Name <key-name>
Steg 3: Stoppa alla beräkningsresurser
Avsluta alla beräkningsresurser (kluster, pooler och SQL-lager) på din arbetsyta.
Steg 4: Skapa eller uppdatera en arbetsyta
Om du vill skapa eller uppdatera en arbetsyta med en kundhanterad nyckel för hanterade diskar väljer du någon av följande distributionsstrategier:
- Använd Azure Portal (ingen mall)
- Använda Azure CLI (ingen mall)
- Använda PowerShell (ingen mall)
- Använda en ARM-mall (Azure Portal eller CLI)
Använd Azure Portal (ingen mall)
I det här avsnittet beskrivs hur du använder Azure Portal för att skapa eller uppdatera en arbetsyta med kundhanterade nycklar för hanterade diskar utan att använda en mall.
Börja skapa eller uppdatera en arbetsyta:
Skapa en ny arbetsyta med en nyckel:
- Gå till startsidan för Azure-portalen och klicka på Skapa en resurs i det övre vänstra hörnet på sidan.
- Skriv
Azure Databricksi sökfältet och klicka på Azure Databricks. - Välj Skapa inifrån Azure Databricks-widgeten.
- Ange värden i formulärfälten på flikarna Grundläggande och Nätverk.
- På fliken Kryptering väljer du kryssrutan Använd din egen nyckel i avsnittet Hanterade diskar.
Lägg först till en nyckel till en befintlig arbetsyta:
- Gå till Azure Portal startsida för Azure Databricks.
- Gå till din befintliga Azure Databricks-arbetsyta.
- Öppna fliken Kryptering från den vänstra panelen.
- Under avsnittet Kundhanterade nycklar aktiverar du Hanterade diskar.
Ange krypteringsfälten.
- I fältet Nyckelidentifierare klistrar du in nyckelidentifieraren för din Azure Key Vault-nyckel.
- I listrutan Prenumeration anger du prenumerationsnamnet för din Azure Key Vault-nyckel.
- Aktivera Automatisk rotation av nyckeln om du vill aktivera automatisk rotation av nyckeln.
Slutför de återstående flikarna och klicka på Granska + Skapa (för ny arbetsyta) eller Spara (för att uppdatera en arbetsyta).
När arbetsytan har distribuerats går du till din nya Azure Databricks-arbetsyta.
På fliken Översikt på din Azure Databricks-arbetsyta klickar du på Hanterad resursgrupp.
På fliken Översikt i den hanterade resursgruppen letar du upp objektet av typen diskkrypteringsuppsättning som skapades i den här resursgruppen. Kopiera namnet på diskkrypteringsuppsättningen.
I Azure Portal går du till Azure Key Vault som användes för att konfigurera nyckeln som du använder för den här funktionen.
Öppna fliken Åtkomstprinciper på panelen till vänster. När fliken är öppen klickar du på Skapa överst på sidan.
På fliken Behörigheter under avsnittet Nyckelbehörigheter aktiverar du Hämta, Packa upp nyckel och Radbryt nyckel.
Klicka på Nästa.
På fliken Huvudnamn anger du namnet på diskkrypteringsuppsättningen i den hanterade resursgruppen för Din Azure Databricks-arbetsyta i sökfältet. Välj resultatet och klicka på Nästa.
Klicka på fliken Granska + skapa och klicka på Skapa.
Använda Azure CLI (ingen mall)
För både nya och uppdaterade arbetsytor lägger du till dessa parametrar i kommandot:
disk-key-name: Namnet på nyckelndisk-key-vault: Namnet på valvetdisk-key-version: Nyckelversion. Använd den specifika nyckelversionen och intelatest.disk-key-auto-rotation: Aktivera automatisk rotation av nyckeln (trueellerfalse). Det här är ett valfritt fält. Standardvärdet ärfalse.
I följande kommandon använder du valvets URI-värde från svaret i föregående steg i stället för <key-vault-uri>. Dessutom finns nyckelnamnet och nyckelversionsvärdena i kid värdet i svaret från föregående steg.
Skapa eller uppdatera en arbetsyta:
Exempel på hur du skapar en arbetsyta med hjälp av dessa hanterade diskparametrar:
az databricks workspace create --name <workspace-name> \ --resource-group <resource-group-name> \ --location <location> \ --sku premium --disk-key-name <key-name> \ --disk-key-vault <key-vault-uri> \ --disk-key-version <key-version> \ --disk-key-auto-rotation <true-or-false>Exempel på uppdatering av en arbetsyta med hjälp av dessa hanterade diskparametrar:
az databricks workspace update \ --name <workspace-name> \ --resource-group <resource-group-name> \ --disk-key-name <key-name> \ --disk-key-vault <key-vault-uri> \ --disk-key-version <key-version> \ --disk-key-auto-rotation <true-or-false>
I utdata från något av dessa kommandon finns det ett
managedDiskIdentityobjekt. Spara värdet förprincipalIdegenskapen i det här objektet. Det används i ett senare steg som huvudnamns-ID.Lägg till en åtkomstprincip med nyckelbehörighet till Key Vault. Använd valvnamnet och huvudnamns-ID:t från föregående steg:
az keyvault set-policy \ --name <key-vault-name> \ --object-id <principal-id> \ --key-permissions get wrapKey unwrapKey
Använda PowerShell (ingen mall)
För både nya och uppdaterade arbetsytor lägger du till dessa parametrar i kommandot:
location: Plats för arbetsytaManagedDiskKeyVaultPropertiesKeyName: NyckelnamnManagedDiskKeyVaultPropertiesKeyVaultUri: Key Vault URIManagedDiskKeyVaultPropertiesKeyVersion: Nyckelversion. Använd den specifika nyckelversionen och intelatest.ManagedDiskRotationToLatestKeyVersionEnabled: Aktivera automatisk rotation av nyckeln (trueellerfalse). Det här är ett valfritt fält. Standardvärdet är falskt.
Skapa eller uppdatera en arbetsyta:
Exempel på hur du skapar en arbetsyta med hjälp av hanterade diskparametrar:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -location $keyVault.Location \ -Sku premium \ -ManagedDiskKeyVaultPropertiesKeyName $key.Name \ -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \ -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabledExempel på uppdatering av en arbetsyta med hjälp av hanterade diskparametrar:
$workspace = Update-AzDatabricksworkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -ManagedDiskKeyVaultPropertiesKeyName $key.Name \ -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \ -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabled
Lägg till en åtkomstprincip med nyckelbehörigheter till Key Vault:
Set-AzKeyVaultAccessPolicy -VaultName $keyVault.VaultName \ -ObjectId $workspace.ManagedDiskIdentityPrincipalId \ -PermissionsToKeys wrapkey,unwrapkey,get
Använda en ARM-mall (Azure Portal eller CLI)
Du kan utforska Azure-snabbstartsmallar i Azure-dokumentationen. En lista över distributionsalternativ för ARM-mallar finns i dokumentationen för ARM-mallen.
När du skapar en arbetsyta skapas även en diskkrypteringsuppsättningsresurs i arbetsytans hanterade resursgrupp. Den har en systemtilldelad hanterad identitet som används för att komma åt ditt Key Vault. Innan Azure Databricks-beräkningen kan använda den här nyckeln för att kryptera dina data måste du hämta huvud-ID:t för diskkrypteringsuppsättningen och sedan ge identiteten GETWRAP, och UNWRAP nyckelbehörigheter till ditt Key Vault.
Databricks rekommenderar att du skapar eller uppdaterar arbetsytan och beviljar Key Vault-behörigheter i samma malldistribution. Du måste skapa eller uppdatera arbetsytan innan du beviljar Key Vault-behörigheter, med ett undantag. Om du uppdaterar en befintlig kundhanterad nyckelarbetsyta för hanterade diskar för att använda en ny nyckel i ett nytt Nyckelvalv måste du ge den befintliga diskkrypteringsuppsättningen behörighet att komma åt det nya Nyckelvalvet och sedan uppdatera arbetsytan med den nya nyckelkonfigurationen.
Exempelmallen i det här avsnittet gör båda följande:
- Skapar eller uppdaterar en arbetsyta för att lägga till kundhanterade nyckelinställningar för hanterade diskar
- Ger diskkrypteringsuppsättningen åtkomst till ditt Key Vault
Du kan använda följande ARM-exempelmall, som gör två saker:
- Skapa eller uppdatera en arbetsyta med en kundhanterad nyckel för hanterade diskar.
- Skapa en nyckelåtkomstprincip.
Om du redan använder en ARM-mall kan du sammanfoga parametrar, resurser och utdata från exempelmallen till din befintliga mall.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create"
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": [
"premium"
],
"metadata": {
"description": "The pricing tier of workspace"
}
},
"apiVersion": {
"type": "string",
"defaultValue": "2023-02-01",
"allowedValues": [
"2023-02-01",
"2022-04-01-preview"
],
"metadata": {
"description": "The API version to use to create the workspace resources"
}
},
"keyVaultName": {
"type": "string",
"metadata": {
"description": "The Key Vault name used for CMK"
}
},
"keyName": {
"type": "string",
"metadata": {
"description": "The key name used for CMK"
}
},
"keyVersion": {
"type": "string",
"metadata": {
"description": "The key version used for CMK. Use the specific key version and not `latest`."
}
},
"keyVaultResourceGroupName": {
"type": "string",
"metadata": {
"description": "The resource group name of the Key Vault used for CMK"
}
},
"enableAutoRotation": {
"type": "bool",
"defaultValue": false,
"allowedValues": [
true,
false
],
"metadata": {
"description": "Whether managed disk picks up new key versions automatically"
}
}
},
"variables": {
"managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"name": "[parameters('workspaceName')]",
"location": "[resourceGroup().location]",
"apiVersion": "[parameters('apiVersion')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[concat(subscription().id, '/resourceGroups/', variables('managedResourceGroupName'))]",
"encryption": {
"entities": {
"managedDisk": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[concat('https://', parameters('keyVaultName'), environment().suffixes.keyvaultDns)]",
"keyName": "[parameters('keyName')]",
"keyVersion": "[parameters('keyVersion')]"
},
"rotationToLatestKeyVersionEnabled": "[parameters('enableAutoRotation')]"
}
}
}
}
},
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2020-06-01",
"name": "addAccessPolicy",
"resourceGroup": "[parameters('keyVaultResourceGroupName')]",
"dependsOn": [
"[resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName'))]"
],
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "0.9.0.0",
"resources": [
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"apiVersion": "2019-09-01",
"name": "[concat(parameters('keyVaultName'), '/add')]",
"properties": {
"accessPolicies": [
{
"objectId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.principalId]",
"tenantId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.tenantId]",
"permissions": {
"keys": [
"get",
"wrapKey",
"unwrapKey"
]
}
}
]
}
}
]
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')))]"
}
}
}
Använd mallen med valfria verktyg, inklusive Azure Portal, CLI eller andra verktyg. Information ingår för följande distributionsstrategier för mallar:
Använd en ARM-mall med hjälp av Azure Portal
Gör följande för att skapa eller uppdatera en arbetsyta med hjälp av en ARM-mall i Azure Portal:
Logga in på Azure-portalen.
Klicka på Skapa en resurs och sedan på Malldistribution (distribuera med anpassade mallar).
På sidan Anpassad distribution klickar du på Skapa en egen mall i redigeraren.
Klistra in innehållet i exempelmallen i redigeraren.
Klicka på Spara.
Ange parametrarnas värden.
Om du vill uppdatera en befintlig arbetsyta använder du samma parametrar som du använde för att skapa arbetsytan. Lägg till en kundhanterad nyckel för första gången genom att lägga till nyckelrelaterade parametrar under under
resources.properties.encryption.entities.managedDiskenligt ovanstående mall. Om du vill rotera nyckeln ändrar du några eller alla nyckelrelaterade parametrar.Viktigt!
Om du uppdaterar en arbetsyta måste resursgruppens namn och arbetsytans namn i mallen vara identiska med resursgruppens namn och arbetsytans namn på den befintliga arbetsytan.
Klicka på Granska + Skapa.
Lös eventuella valideringsproblem och klicka sedan på Skapa.
Viktigt!
Om du roterar en nyckel ska du inte ta bort den gamla nyckeln förrän uppdateringen av arbetsytan har slutförts.
Använda en ARM-mall med hjälp av Azure CLI
I det här avsnittet beskrivs hur du skapar eller uppdaterar en arbetsyta med din nyckel med hjälp av en ARM-mall med Azure CLI.
Kontrollera om mallen innehåller avsnittet för
resources.properties.encryption.entities.managedDiskoch dess relaterade parametrarkeyvaultName,keyName,keyVersionochkeyVaultResourceGroupName. Om de inte finns där, se tidigare i det här avsnittet för en exempelmall och sammanfoga i det avsnittet och parametrarna i mallen.Kör kommandot
az deployment group create. Om resursgruppens namn och arbetsytans namn är identiska med resursgruppens namn och arbetsytans namn för en befintlig arbetsyta uppdaterar det här kommandot den befintliga arbetsytan i stället för att skapa en ny arbetsyta. Om du uppdaterar en befintlig distribution måste du använda samma resursgrupp och arbetsytenamn som tidigare användes.az deployment group create --resource-group <existing-resource-group-name> \ --template-file <file-name>.json \ --parameters workspaceName=<workspace-name> \ keyvaultName=<key-vault-name> \ keyName=<key-name> keyVersion=<key-version> \ keyVaultResourceGroupName=<key-vault-resource-group>Viktigt!
Om du roterar en nyckel kan du bara ta bort den gamla nyckeln när arbetsyteuppdateringen har slutförts.
Steg 5: Bekräfta att dina beräkningsresurser använder din nyckel (valfritt)
Bekräfta att funktionen för kundhanterad nyckel för hanterade diskar är aktiverad för arbetsytan:
Hämta information om din Azure Databricks-arbetsyta genom att göra något av följande:
Azure Portal
Azure CLI
Kör följande kommando:
az databricks workspace show --resource-group <resource group name> --name <workspace name>Parametrarna för kryptering av hanterade diskar finns under
properties. Till exempel:"properties": { "encryption": { "entities": { "managedDisk": { "keySource": "Microsoft.Keyvault", "keyVaultProperties": { "keyVaultUri": "<key-vault-uri>", "keyName": "<key-name>", "keyVersion": "<key-version>" }, "rotationToLatestKeyVersionEnabled": "<rotation-enabled>" } } }PowerShell
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group-name> | Select-Object -Property ManagedDiskKeySource, ManagedDiskKeyVaultPropertiesKeyVaultUri, ManagedServicesKeyVaultPropertiesKeyName, ManagedServicesKeyVaultPropertiesKeyVersion, ManagedDiskRotationToLatestKeyVersionEnabledGranska värdena för de egenskaper som returneras i utdata:
ManagedDiskKeySource : Microsoft.Keyvault ManagedDiskKeyVaultPropertiesKeyVaultUri : <key-vault-uri> ManagedServicesKeyVaultPropertiesKeyName : <key-name> ManagedServicesKeyVaultPropertiesKeyVersion : <key-version> ManagedDiskRotationToLatestKeyVersionEnabled : <rotation-enabled>
Skapa en beräkningsresurs för din arbetsyta som ska användas för testning:
Om en beräkningsresurs inte kan startas korrekt beror det vanligtvis på att du behöver bevilja diskkrypteringsuppsättningen lämpliga behörigheter för att få åtkomst till ditt Key Vault.
I Azure Portal klickar du på Arbetsytor och sedan på namnet på din arbetsyta.
På arbetsytans sida klickar du på namnet på den hanterade resursgrupp som arbetsytan finns i.
Klicka på namnet på en virtuell dator under Resurser på sidan resursgrupp.
Till vänster på sidan för den virtuella datorn, under Inställningar, klickar du på Diskar.
På sidan Diskar, under Datadiskar, bekräftar du att fältet Kryptering för disken har värdet
SSE with CMK.
Steg 6: Starta tidigare avslutade beräkningsresurser
- Kontrollera att uppdateringen av arbetsytan är klar. Om nyckeln var den enda ändringen i mallen slutförs den vanligtvis på mindre än fem minuter, annars kan det ta längre tid.
- Starta alla beräkningsresurser som du avslutade tidigare manuellt.
Om det inte går att starta några beräkningsresurser beror det vanligtvis på att du behöver ge diskkrypteringsuppsättningen behörighet att komma åt ditt Key Vault.
Rotera nyckeln vid ett senare tillfälle
Det finns två typer av nyckelrotationer på en befintlig arbetsyta som redan har en nyckel:
- Automatisk rotation: Om
rotationToLatestKeyVersionEnabledärtrueför din arbetsyta identifierar diskkrypteringsuppsättningen nyckelversionsändringen och pekar på den senaste nyckelversionen. - Manuell rotation: Du kan uppdatera en befintlig kundhanterad nyckelarbetsyta för hanterade diskar med en ny nyckel. Följ anvisningarna ovan som om du ursprungligen lade till en nyckel till en befintlig arbetsyta.
Felsökning
Klustret misslyckas med KeyVaultAccessForbidden
Problemet är att ett kluster inte kan börja med följande fel:
Cloud Provider Launch Failure: KeyVaultAccessForbidden
Bevilja behörighet till den diskkrypteringsuppsättning som skapas i arbetsytans hanterade resursgrupp för att komma åt ditt Key Vault. Behörigheter som krävs: GET, WRAPKEY, UNWRAPKEY.
Läs om underavsnittet i Steg 4: Skapa eller uppdatera en arbetsyta för din distributionstyp och ägna särskild uppmärksamhet åt uppdateringen av Key Vault-åtkomstpolicyn med specifika behörigheter.
Nyckelparametrar saknas
Problemet är att kundhanterade nyckelparametrar för hanterade diskar saknas.
Bekräfta att ARM-mallen använder rätt API-version för Microsoft.Databricks/workspaces-resursen. Funktionen kundhanterad nyckel för hanterade diskar är endast tillgänglig med API-versionen som är lika med eller högre än 2022-04-01-preview. Om du använder andra API-versioner skapas eller uppdateras arbetsytan, men hanterade diskparametrar ignoreras.
Det går inte att uppdatera arbetsytan med ApplicationUpdateFail
Problemet är att en uppdatering av arbetsytan eller korrigeringsåtgärden misslyckas för en hanterad diskaktiverad arbetsyta med följande fel:
Failed to update application: `<workspace name>`, because patch resource group failure. (Code: ApplicationUpdateFail)
Ge diskkrypteringsuppsättningen åtkomst till ditt Key Vault och utför sedan uppdateringsåtgärder för arbetsytan som att lägga till taggar.
Åtkomstprincip saknas
Problemet är följande fel:
ERROR CODE: BadRequest MESSAGE: Invalid value found at accessPolicies[14].ObjectId: <objectId>
Åtkomstprincipen med objekt-ID:t ovan är ogiltig i ditt Key Vault. Du måste ta bort den för att kunna lägga till nya åtkomstprinciper i ditt Key Vault.
Förlorade nycklar kan inte återställas
Förlorade nycklar kan inte återställas. Om du förlorar eller återkallar nyckeln och inte kan återställa den fungerar inte Azure Databricks beräkningsresurser längre. Andra funktioner på arbetsytan påverkas inte.
Resurser
- Azure-hanterade diskar i Azure-dokumentationen
- Kryptering på serversidan av Azure Disk Storage i Azure-dokumentationen