共用方式為


設定 Azure 受控磁碟的客戶自控金鑰

計算平面中的 Azure Databricks 計算工作負載會將暫存資料儲存在 Azure 受控磁碟中。 預設情況下,儲存在受控磁碟中的資料會使用伺服器端加密搭配 Microsoft 受管理金鑰進行待用加密。 本文說明如何為 Azure Databricks 工作區設定 Azure Key Vault 保存庫的客戶自控金鑰,以用於受控磁碟加密。 如需有關使用 Azure Key Vault HSM 金鑰的指示,請參閱設定 Azure 受控磁碟的 HSM 客戶自控金鑰

重要

  • 受控磁碟儲存體的客戶自控金鑰會套用至資料磁碟,但適用於作業系統 (OS) 磁碟。
  • 受控磁碟儲存體的客戶自控金鑰適用於無伺服器計算資源,例如無伺服器 SQL 倉儲模型服務。 用於無伺服器計算資源的磁碟是短期的,並繫結至無伺服器工作負載的生命週期。 當計算資源停止或縮小時,VM 及其儲存體會終結。

需求

步驟 1:建立金鑰保存庫

您可以透過許多方式建立金鑰保存庫,包括 Azure 入口網站、Azure CLI、Powershell,以及選擇性地使用 ARM 範本。 下列各節提供使用 Azure CLI 和 Powershell 的指示。 如需其他方法,請參閱 Microsoft 文件

使用 Azure CLI

  1. 建立金鑰保存庫:

    az keyvault create --name <keyVaultName> --resource-group <resourceGroupName> --location <location> --sku <sku> --enable-purge-protection
    
  2. 取得儲存庫 URI:

    az keyvault show --name <key-vault-name>
    

    從回應中複製 vaultUri 值。

使用 PowerShell

建立新保存庫:

$keyVault = New-AzKeyVault -Name <key-vault-name> -ResourceGroupName <resource-group-name> -Location <location> -Sku <sku> -EnablePurgeProtection

獲取現有金鑰保存庫:

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

步驟 2:準備金鑰

您可以使用 Azure 入口網站、Azure CLI、Powershell,以及選擇性地使用 ARM 範本,建立金鑰或擷取儲存在 Azure Key Vault 中的現有金鑰。 本節提供適用於 Azure CLI 和 Powershell 的程序。 如需其他方式,請參閱 Azure 金鑰文件

使用 Azure CLI

您可以建立金鑰或擷取現有金鑰。

建立金鑰:

  1. 執行以下命令:

    az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name> \
    --protection software
    
  2. 記下輸出中的下列值:

    • 金鑰保存庫名稱:輸入您的金鑰保存庫名稱
    • 金鑰名稱:您的金鑰名稱
    • 金鑰版本:您的金鑰版本。
    • 金鑰保存庫資源群組:金鑰保存庫的資源群組
  3. 取得金鑰資訊:

    az keyvault key show --vault-name <keyVaultName> --name <keyName>
    

    複製 kid 欄位的值,也就是您的金鑰識別碼。

    完整金鑰識別碼的格式通常為 https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>。 非公用雲端中的 Azure Key Vault 金鑰具有不同的格式。

擷取現有金鑰:

  1. 執行以下命令:

    az keyvault key show --name <key-name> --vault-name <key-vault-name>
    
  2. 請記下現有金鑰的下列詳細資料:

    • 金鑰保存庫名稱:您的金鑰保存庫名稱。
    • 金鑰名稱:您的金鑰名稱。
    • 金鑰版本:您的金鑰版本。
    • 金鑰保存庫資源群組:金鑰保存庫的資源群組。
  3. 取得金鑰資訊:

    az keyvault key show --vault-name <keyVaultName> --name <keyName>
    

    複製 kid 欄位的值,也就是您的金鑰識別碼。

    完整金鑰識別碼的格式通常為 https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>。 非公用雲端中的 Azure Key Vault 金鑰具有不同的格式。

  4. 確認您現有的金鑰已啟用,然後再透過執行一次 az keyvault key show --name <key name> 繼續。 輸出會顯示 "enabled": true

使用 PowerShell

  1. 如果您打算建立金鑰,可能需要根據建立金鑰的方式和時間來設定存取原則。 例如,如果您最近使用 PowerShell 建立了 Key Vault,則新的 Key Vault 可能缺少建立金鑰所需的存取原則。 下列範例使用 EmailAddress 參數來設定存取原則。 如需相關詳細資料,請參閱有關設定 Azure Key Vault 存取原則的 Microsoft 文章

    設定新金鑰保存庫的存取原則:

    Set-AzKeyVaultAccessPolicy \
    -VaultName $keyVault.VaultName \
    -PermissionsToKeys all \
    -EmailAddress <email-address>
    
  2. 您可以建立金鑰或擷取現有金鑰:

    • 建立金鑰:

      $key = Add-AzKeyVaultKey \
      -VaultName $keyVault.VaultName \
      -Name <key-name> \
      -Destination 'Software'
      
    • 擷取現有金鑰:

      $key = Get-AzKeyVaultKey \
      -VaultName $keyVault.VaultName \
      -Name <key-name>
      

步驟 3:停止所有計算資源

在您的工作區中終止所有計算資源 (叢集、集區和 SQL 倉儲)。

步驟 4:建立或更新工作區

若要使用受控磁碟的客戶自控金鑰來建立或更新工作區,請選擇下列其中一個部署策略:

使用 Azure 入口網站 (無範本)

本節說明如何使用 Azure 入口網站,透過受控磁碟的客戶自控金鑰來建立或更新工作區,而無需使用範本。

  1. 開始建立或更新工作區:

    使用金鑰建立新的工作區:

    1. 轉至 Azure Portal首頁,按一下頁面左上角的 [建立資源]。
    2. 在搜尋列中,輸入 Azure Databricks 並按一下 [Azure Databricks]
    3. 從 Azure Databricks 小工具中選取 [建立]。
    4. 在 [基本資料] 和 [網路] 索引標籤的表單欄位中輸入值。
    5. 在 [加密] 索引標籤中,選取 [受控磁碟] 區段中的 [使用您自己的金鑰] 核取方塊。

    首先將金鑰新增至現有工作區:

    1. 轉至 Azure Databricks 的 Azure 入口網站首頁
    2. 瀏覽至現有 Azure Databricks 工作區。
    3. 從左側面板中開啟 [加密] 索引標籤。
    4. 在 [客戶自控金鑰] 區段下,啟用 [受控磁碟]。
  2. 設定加密欄位。

    • 在 [金鑰識別碼] 欄位中,貼上 Azure Key Vault 金鑰的金鑰識別碼。
    • 在 [訂用帳戶] 下拉式清單中,輸入 Azure Key Vault 金鑰的訂用帳戶名稱。
    • 若要啟用金鑰的自動輪替,請啟用 [啟用金鑰的自動輪替]
  3. 完成其餘索引標籤,然後按一下 [檢閱 + 建立] (適用於新的工作區) 或 [儲存] (適用於更新工作區)。

  4. 工作區部署之後,瀏覽至新的 Azure Databricks 工作區。

  5. 從 Azure Databricks 工作區的 [概觀] 索引標籤中,選取 [受控資源群組]。

  6. 在受控資源群組的 [概觀] 索引標籤中,尋找在此資源群組中建立的磁碟加密集類型的物件。 複製磁碟加密集的名稱。

  7. 在 Azure 入口網站中,移至設定您要用於此功能的金鑰時所使用的 Azure Key Vault。

  8. 從左側面板開啟 [存取原則] 索引標籤。 開啟索引標籤之後,按一下頁面頂端的 [建立]。

  9. 在 [權限] 索引標籤中的 [金鑰權限] 區段底下,啟用 [取得]、[將金鑰解除包裝] 和 [包裝金鑰]。

  10. 按一下 [下一步] 。

  11. [主體] 索引標籤上的搜尋列中,輸入 Azure Databricks 工作區的受控資源群組內的磁碟加密集名稱。 選取結果,然後按一下 [下一步]。

    輸入磁碟加密集的名稱並選取結果

  12. 按一下 [檢閱 + 建立] 索引標簽,然後按一下 [建立]。

使用 Azure CLI (無範本)

針對新的和更新的工作區,將以下參數新增至您的命令:

  • disk-key-name:金鑰的名稱
  • disk-key-vault:保存庫的名稱
  • disk-key-version:金鑰版本。 使用特定的金鑰版本,而不是 latest
  • disk-key-auto-rotation:啟用金鑰的自動輪替 (truefalse)。 這是非必填欄位。 預設值為 false

在下列命令中,使用上一個步驟中回應中的保存庫 URI 值來取代 <key-vault-uri>。 此外,可以在上一個步驟的回應中的 kid 值內找到索引鍵名稱和索引鍵版本值。

  1. 建立或更新工作區:

    • 使用這些受控磁碟參數建立工作區的範例:

      az databricks workspace create --name <workspace-name> \
      --resource-group <resource-group-name> \
      --location <location> \
      --sku premium --disk-key-name <key-name> \
      --disk-key-vault <key-vault-uri> \
      --disk-key-version <key-version> \
      --disk-key-auto-rotation <true-or-false>
      
    • 使用這些受控磁碟參數更新工作區的範例:

      az databricks workspace update \
      --name <workspace-name> \
      --resource-group <resource-group-name> \
      --disk-key-name <key-name> \
      --disk-key-vault <key-vault-uri> \
      --disk-key-version <key-version> \
      --disk-key-auto-rotation <true-or-false>
      

    在上述任一命令的輸出中,有一個 managedDiskIdentity 物件。 儲存此物件中 principalId 屬性的值。 這會在後續步驟中用作主體 ID。

  2. 將具有索引鍵權限的存取原則新增至金鑰保存庫。 使用先前步驟中的保存庫名稱和主體 ID:

    az keyvault set-policy \
    --name <key-vault-name> \
    --object-id <principal-id> \
    --key-permissions get wrapKey unwrapKey
    

使用 PowerShell (無範本)

針對新的和更新的工作區,將以下參數新增至您的命令:

  • location:工作區位置
  • ManagedDiskKeyVaultPropertiesKeyName:金鑰名稱
  • ManagedDiskKeyVaultPropertiesKeyVaultUri:金鑰保存庫 URI
  • ManagedDiskKeyVaultPropertiesKeyVersion:金鑰版本。 使用特定的金鑰版本,而不是 latest
  • ManagedDiskRotationToLatestKeyVersionEnabled:啟用金鑰的自動輪替 (truefalse)。 這是非必填欄位。 預設值為 false。
  1. 建立或更新工作區:

    • 使用受控磁碟參數建立工作區的範例:

      $workspace = New-AzDatabricksWorkspace -Name <workspace-name> \
      -ResourceGroupName <resource-group-name> \
      -location $keyVault.Location \
      -Sku premium \
      -ManagedDiskKeyVaultPropertiesKeyName $key.Name \
      -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \
      -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabled
      
    • 使用受控磁碟參數更新工作區的範例:

      $workspace = Update-AzDatabricksworkspace -Name <workspace-name> \
      -ResourceGroupName <resource-group-name> \
      -ManagedDiskKeyVaultPropertiesKeyName $key.Name \
      -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \
      -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabled
      
  2. 將具有索引鍵權限的存取原則新增至金鑰保存庫:

    Set-AzKeyVaultAccessPolicy -VaultName $keyVault.VaultName \
    -ObjectId $workspace.ManagedDiskIdentityPrincipalId \
    -PermissionsToKeys wrapkey,unwrapkey,get
    

使用 ARM 範本 (Azure portal 或 CLI)

您可以在 Azure 文件中探索 Azure 快速入門範本。 如需 ARM 範本部署選項的清單,請參閱 ARM 範本文件

當您建立工作區時,也會在工作區的受控資源群組內建立磁碟加密集資源。 它具有系統指派的受控識別,可用來存取您的金鑰保存庫。 在 Azure Databricks 計算使用此金鑰來加密您的資料之前,您必須先擷取磁碟加密集的主體 ID,然後為該身分識別授與金鑰保存庫的 GETWRAPUNWRAP 金鑰權限。

Databricks 建議您建立或更新工作區,並在相同的範本部署中授與金鑰保存庫權限。 您必須先建立或更新工作區,才能授與金鑰保存庫權限,但有一個例外。 如果您更新現有的受控磁碟客戶自控金鑰工作區,以在新金鑰保存庫中使用新的金鑰,則必須授與現有的磁碟加密集權限以存取新的金鑰保存庫,然後使用新的金鑰組態更新工作區。

本節中的範例範本會執行下列兩項操作:

  • 建立或更新工作區以新增受控磁碟客戶自控金鑰設定
  • 將磁碟加密集存取權授與金鑰保存庫

您可以使用下列 ARM 範本範例,其會執行兩項操作:

  • 使用受控磁碟客戶自控金鑰建立或更新工作區。
  • 建立金鑰存取原則。

如果您已經使用 ARM 範本,可以將該範本範例的參數、資源和輸出合併到現有範本中。

{
   "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
       "workspaceName": {
           "type": "string",
           "metadata": {
               "description": "The name of the Azure Databricks workspace to create"
           }
       },
       "pricingTier": {
           "type": "string",
           "defaultValue": "premium",
           "allowedValues": [
               "premium"
           ],
           "metadata": {
               "description": "The pricing tier of workspace"
           }
       },
       "apiVersion": {
           "type": "string",
           "defaultValue": "2023-02-01",
           "allowedValues": [
               "2023-02-01",
               "2022-04-01-preview"
           ],
           "metadata": {
               "description": "The API version to use to create the workspace resources"
           }
       },
       "keyVaultName": {
           "type": "string",
           "metadata": {
               "description": "The Key Vault name used for CMK"
           }
       },
       "keyName": {
           "type": "string",
           "metadata": {
               "description": "The key name used for CMK"
           }
       },
       "keyVersion": {
           "type": "string",
           "metadata": {
               "description": "The key version used for CMK. Use the specific key version and not `latest`."
           }
       },
       "keyVaultResourceGroupName": {
           "type": "string",
           "metadata": {
               "description": "The resource group name of the Key Vault used for CMK"
           }
       },
       "enableAutoRotation": {
           "type": "bool",
           "defaultValue": false,
           "allowedValues": [
               true,
               false
           ],
           "metadata": {
               "description": "Whether managed disk picks up new key versions automatically"
           }
       }
   },
   "variables": {
       "managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]"
   },
   "resources": [
       {
           "type": "Microsoft.Databricks/workspaces",
           "name": "[parameters('workspaceName')]",
           "location": "[resourceGroup().location]",
           "apiVersion": "[parameters('apiVersion')]",
           "sku": {
               "name": "[parameters('pricingTier')]"
           },
           "properties": {
               "managedResourceGroupId": "[concat(subscription().id, '/resourceGroups/', variables('managedResourceGroupName'))]",
               "encryption": {
                   "entities": {
                       "managedDisk": {
                           "keySource": "Microsoft.Keyvault",
                           "keyVaultProperties": {
                               "keyVaultUri": "[concat('https://', parameters('keyVaultName'), environment().suffixes.keyvaultDns)]",
                               "keyName": "[parameters('keyName')]",
                               "keyVersion": "[parameters('keyVersion')]"
                           },
                           "rotationToLatestKeyVersionEnabled": "[parameters('enableAutoRotation')]"
                       }
                   }
               }
           }
       },
       {
           "type": "Microsoft.Resources/deployments",
           "apiVersion": "2020-06-01",
           "name": "addAccessPolicy",
           "resourceGroup": "[parameters('keyVaultResourceGroupName')]",
           "dependsOn": [
               "[resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName'))]"
           ],
           "properties": {
               "mode": "Incremental",
               "template": {
                   "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
                   "contentVersion": "0.9.0.0",
                   "resources": [
                       {
                           "type": "Microsoft.KeyVault/vaults/accessPolicies",
                           "apiVersion": "2019-09-01",
                           "name": "[concat(parameters('keyVaultName'), '/add')]",
                           "properties": {
                               "accessPolicies": [
                                   {
                                       "objectId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.principalId]",
                                       "tenantId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.tenantId]",
                                       "permissions": {
                                           "keys": [
                                               "get",
                                               "wrapKey",
                                               "unwrapKey"
                                           ]
                                       }
                                   }
                               ]
                           }
                       }
                   ]
               }
           }
       }
   ],
   "outputs": {
       "workspace": {
           "type": "object",
           "value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')))]"
       }
   }
}

使用範本搭配您想要的任何工具,包括 Azure 入口網站、CLI 或其他工具。 包含下列範本部署策略的詳細資料:

使用 Azure 入口網站套用 ARM 範本

若要在 Azure 入口網站中使用 ARM 範本建立或更新工作區,請執行下列動作:

  1. 登入 Azure 入口網站

  2. 按一下 [建立資源],然後按一下 [範本部署 (使用自訂範本進行部署)]。

  3. 在 [自訂部署] 頁面中按一下 [在編輯器中建置您自己的範本]。

  4. 在編輯器中貼上範例範本的內容。

    編輯 Azure 自訂部署入口網站的部署頁面

  5. 按一下 [檔案] 。

  6. 輸入您的參數值。

    若要更新現有工作區,請使用您用來建立工作區的相同參數。 若要第一次新增客戶管理的密鑰,請在 resources.properties.encryption.entities.managedDisk 底下新增金鑰相關參數,如上述範本所示。 若要輪替金鑰,請變更與金鑰相關的部分或全部參數。

    重要

    如果您更新工作區,範本中的資源群組名稱和工作區名稱必須與現有工作區的資源群組名稱和工作區名稱相同。

    Azure 自訂部署入口網站的專案詳細資料頁面

  7. 按一下 [檢閱 + 建立]。

  8. 解決任何驗證問題,然後按一下 [建立]。

重要

如果您輪替金鑰,在工作區更新完成之前,請勿刪除舊金鑰。

使用 Azure CLI 套用 ARM 範本

本節說明如何搭配使用 ARM 範本與 Azure CLI,透過金鑰建立或更新工作區。

  1. 檢查範本是否包含 resources.properties.encryption.entities.managedDisk 區段及其相關參數 keyvaultNamekeyNamekeyVersionkeyVaultResourceGroupName。 如果它們不存在,請參閱本節稍早的範例範本,並將該區段中的參數合併到您的範本中。

  2. 執行 az deployment group create 命令。 只要資源群組名稱和工作區名稱與現有工作區的資源群組名稱和工作區名稱相同,此命令就會更新現有工作區,而不是建立新的工作區。 如果您要更新現有部署,請務必使用與先前所使用的相同資源群組和工作區名稱。

    az deployment group create --resource-group <existing-resource-group-name>  \
                               --template-file <file-name>.json \
                               --parameters workspaceName=<workspace-name> \
                                            keyvaultName=<key-vault-name> \
                                            keyName=<key-name> keyVersion=<key-version> \
                                            keyVaultResourceGroupName=<key-vault-resource-group>
    

    重要

    如果您輪替金鑰,在工作區更新完成之後,才能刪除舊金鑰。

步驟 5:確認您的計算資源使用金鑰 (選用)

若要確認工作區已啟用受控磁碟客戶自控金鑰功能:

  1. 執行下列其中一項動作,擷取 Azure Databricks 工作區詳細資料:

    • Azure 入口網站

      1. Azure 入口網站中,按一下 [工作區],然後按一下工作區的名稱。
      2. 在工作區頁面上,按一下 [JSON 檢視]。
      3. 按一下等於或高於 2022-04-01-preview API 版本的 API 版本。
    • Azure CLI

      執行以下命令:

      az databricks workspace show --resource-group <resource group name> --name <workspace name>
      

      受控磁碟加密參數位於 properties 下。 例如:

      "properties": {
           "encryption": {
               "entities": {
                   "managedDisk": {
                     "keySource": "Microsoft.Keyvault",
                     "keyVaultProperties": {
                         "keyVaultUri": "<key-vault-uri>",
                         "keyName": "<key-name>",
                         "keyVersion": "<key-version>"
                     },
                     "rotationToLatestKeyVersionEnabled": "<rotation-enabled>"
                 }
            }
        }
      
    • Powershell

      Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group-name> |
        Select-Object -Property ManagedDiskKeySource,
         ManagedDiskKeyVaultPropertiesKeyVaultUri,
         ManagedServicesKeyVaultPropertiesKeyName,
         ManagedServicesKeyVaultPropertiesKeyVersion,
         ManagedDiskRotationToLatestKeyVersionEnabled
      

      檢閱輸出中傳回之屬性的值:

      ManagedDiskKeySource                           : Microsoft.Keyvault
      ManagedDiskKeyVaultPropertiesKeyVaultUri       : <key-vault-uri>
      ManagedServicesKeyVaultPropertiesKeyName       : <key-name>
      ManagedServicesKeyVaultPropertiesKeyVersion    : <key-version>
      ManagedDiskRotationToLatestKeyVersionEnabled   : <rotation-enabled>
      
  2. 為您的工作區建立任何計算資源,以用於測試:

    如果計算資源無法成功啟動,通常是因為您需要授與磁碟加密集適當權限,才能存取金鑰保存庫。

  3. Azure 入口網站中,按一下 [工作區],然後按一下工作區的名稱。

  4. 在工作區頁面上,按一下工作區所屬的受控資源群組名稱。

  5. 在資源群組頁面的 [資源] 下,按一下虛擬機器的名稱。

  6. 在虛擬機器頁面左側的 [設定] 底下,按一下 [磁碟]。

    在 [磁碟] 頁面的 [資料磁碟] 下,確認磁碟的 [加密] 欄位具有值 SSE with CMK

步驟 6:啟動先前終止的計算資源

  1. 確定工作區更新已完成。 如果金鑰是範本的唯一變更,這通常會在不到五分鐘內完成,否則可能需要更多時間。
  2. 手動啟動您稍早終止的任何計算資源。

如果有任何計算資源無法成功啟動,通常是因為您需要授與磁碟加密集權限,才能存取金鑰保存庫。

在稍後的時間輪替金鑰

在已經有一個金鑰的現有工作區中,有兩種類型的金鑰輪替:

  • 自動輪替:如果對於您的工作區而言,rotationToLatestKeyVersionEnabledtrue,則磁碟加密集會偵測金鑰版本變更,並指向最新的金鑰版本。
  • 手動輪替:您可以使用新的金鑰來更新現有的受控磁碟客戶自控金鑰工作區。 請遵循上述指示,如同您最初將金鑰新增至現有工作區一樣。

疑難排解

叢集失敗並顯示 KeyVaultAccessForbidden

問題是叢集無法啟動,並出現下列錯誤:

Cloud Provider Launch Failure: KeyVaultAccessForbidden

授與在工作區受控資源群組中建立磁碟加密的權限,以存取您的 Key Vault。 所需權限:GETWRAPKEYUNWRAPKEY

為您的部署類型重新閱讀步驟 4:建立或更新工作區小節,並特別注意具有特定權限的 Key Vault 存取原則更新。

遺失金鑰參數

問題在於缺少受控磁碟客戶自控金鑰參數。

確認您的 ARM 範本對 Microsoft.Databricks/workspaces 資源使用正確的 API 版本。 受控磁碟客戶自控金鑰功能僅適用於 2022-04-01-preview 以後的 API 版本。 如果您使用其他 API 版本,仍會建立或更新工作區,但會忽略受控磁碟參數。

工作區更新失敗,且出現錯誤 ApplicationUpdateFail

問題是受控磁碟的工作區更新或修補操作失敗,並出現下列錯誤:

Failed to update application: `<workspace name>`, because patch resource group failure. (Code: ApplicationUpdateFail)

授與金鑰保存庫的磁碟加密集存取權,然後執行工作區更新操作,例如新增標籤。

存取原則遺漏

問題是出現下列錯誤:

ERROR CODE: BadRequest MESSAGE: Invalid value found at accessPolicies[14].ObjectId: <objectId>

在金鑰保存庫中,具有上述物件識別碼的存取原則無效。 必須將其移除,才能將新的存取原則新增至金鑰保存庫。

遺失的金鑰無法復原

遺失的金鑰無法復原。 如果遺失或撤銷金鑰且無法復原,Azure Databricks 計算資源將不再工作。 工作區的其他功能則不受影響。

資源