設定 Azure 受控磁碟的客戶自控金鑰
計算平面中的 Azure Databricks 計算工作負載會將暫存資料儲存在 Azure 受控磁碟中。 預設情況下,儲存在受控磁碟中的資料會使用伺服器端加密搭配 Microsoft 受管理金鑰進行待用加密。 本文說明如何為 Azure Databricks 工作區設定 Azure Key Vault 保存庫的客戶自控金鑰,以用於受控磁碟加密。 如需有關使用 Azure Key Vault HSM 金鑰的指示,請參閱設定 Azure 受控磁碟的 HSM 客戶自控金鑰。
重要
- 受控磁碟儲存體的客戶自控金鑰會套用至資料磁碟,但不適用於作業系統 (OS) 磁碟。
- 受控磁碟儲存體的客戶自控金鑰不適用於無伺服器計算資源,例如無伺服器 SQL 倉儲和模型服務。 用於無伺服器計算資源的磁碟是短期的,並繫結至無伺服器工作負載的生命週期。 當計算資源停止或縮小時,VM 及其儲存體會終結。
需求
您的 Azure Databricks 工作區必須在進階方案中。
您的 Azure Key Vault 與 Azure Databricks 工作區必須位於相同區域和相同的 Microsoft Entra ID 租用戶中。 但兩者可位於不同的訂用帳戶中。
如果您想要啟用自動輪替,僅支援大小為 2048 位元、3072 位元和 4096 位元的軟體機碼和 HSM RSA 金鑰。
符合 FedRAMP 規範的工作區不支援此功能。 如需詳細資訊,請連絡 Azure Databricks 帳戶團隊。
若要使用 Azure CLI 執行這些任務,請安裝 Azure CLI 工具並安裝 Databricks 延伸項目:
az extension add --name databricks若要使用 Powershell 執行這些任務,請安裝 Azure PowerShell 並安裝 Databricks Powershell 模組。 您也必須登入:
Connect-AzAccount若要以使用者身分登入 Azure 帳戶,請參閱使用 Azure Databricks 使用者帳戶登入 PowerShell。 若要以服務主體身分登入 Azure 帳戶,請參閱使用 Microsoft Entra ID 服務主體身分登入 PowerShell。
步驟 1:建立金鑰保存庫
您可以透過許多方式建立金鑰保存庫,包括 Azure 入口網站、Azure CLI、Powershell,以及選擇性地使用 ARM 範本。 下列各節提供使用 Azure CLI 和 Powershell 的指示。 如需其他方法,請參閱 Microsoft 文件。
使用 Azure CLI
建立金鑰保存庫:
az keyvault create --name <keyVaultName> --resource-group <resourceGroupName> --location <location> --sku <sku> --enable-purge-protection取得儲存庫 URI:
az keyvault show --name <key-vault-name>從回應中複製
vaultUri值。
使用 PowerShell
建立新保存庫:
$keyVault = New-AzKeyVault -Name <key-vault-name> -ResourceGroupName <resource-group-name> -Location <location> -Sku <sku> -EnablePurgeProtection
取得現有的金鑰保存庫(Key Vault):
$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
步驟 2:準備金鑰
您可以使用 Azure 入口網站、Azure CLI、Powershell,以及選擇性地使用 ARM 範本,建立金鑰或擷取儲存在 Azure Key Vault 中的現有金鑰。 本節提供適用於 Azure CLI 和 Powershell 的程序。 如需其他方式,請參閱 Azure 金鑰文件。
使用 Azure CLI
您可以建立金鑰或擷取現有金鑰。
建立金鑰:
執行以下命令:
az keyvault key create \ --name <key-name> \ --vault-name <key-vault-name> \ --protection software記下輸出中的下列值:
- 金鑰保存庫名稱:輸入您的金鑰保存庫名稱
- 金鑰名稱:您的金鑰名稱
- 金鑰版本:您的金鑰版本。
- 金鑰保存庫資源群組:金鑰保存庫的資源群組
取得金鑰資訊:
az keyvault key show --vault-name <keyVaultName> --name <keyName>複製
kid欄位的值,也就是您的金鑰識別碼。完整金鑰識別碼的格式通常為
https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>。 非公用雲端中的 Azure Key Vault 金鑰具有不同的格式。
擷取現有金鑰:
執行以下命令:
az keyvault key show --name <key-name> --vault-name <key-vault-name>請記下現有金鑰的下列詳細資料:
- 金鑰保存庫名稱:您的金鑰保存庫名稱。
- 金鑰名稱:您的金鑰名稱。
- 金鑰版本:您的金鑰版本。
- 金鑰保存庫資源群組:金鑰保存庫的資源群組。
取得金鑰資訊:
az keyvault key show --vault-name <keyVaultName> --name <keyName>複製
kid欄位的值,也就是您的金鑰識別碼。完整金鑰識別碼的格式通常為
https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-version>。 非公用雲端中的 Azure Key Vault 金鑰具有不同的格式。確認您現有的金鑰已啟用,然後再透過執行一次
az keyvault key show --name <key name>繼續。 輸出會顯示"enabled": true。
使用 PowerShell
您可以建立金鑰或擷取現有金鑰:
建立金鑰:
$key = Add-AzKeyVaultKey \ -VaultName $keyVault.VaultName \ -Name <key-name> \ -Destination 'Software'擷取現有金鑰:
$key = Get-AzKeyVaultKey \ -VaultName $keyVault.VaultName \ -Name <key-name>
步驟 3:停止所有計算資源
在您的工作區中終止所有計算資源 (叢集、集區和 SQL 倉儲)。
步驟 4:建立或更新工作區
若要使用客戶管理的受控磁碟密鑰來建立或更新工作區,請選擇下列其中一個部署策略:
使用 Azure 入口網站 (無範本)
本節說明如何使用 Azure 入口網站,使用客戶管理的受控磁碟密鑰來建立或更新工作區,而不需使用範本。
開始建立或更新工作區:
使用金鑰建立新的工作區:
- 轉至 Azure Portal首頁,按一下頁面左上角的 [建立資源]。
- 在搜尋列中,輸入
Azure Databricks並按一下 [Azure Databricks]。 - 從 Azure Databricks 小工具中選取「[建立]」。
- 在 [基本] 索引卷標
的窗體字段中輸入值, [網络] 。 - 在 [加密] 索引標籤中,選取 [受控磁碟] 區段中的 [使用您自己的密鑰] 複選框。
首先將金鑰新增至現有工作區:
- 轉至 Azure Databricks 的 Azure 入口網站首頁。
- 瀏覽至現有 Azure Databricks 工作區。
- 從左側面板中開啟 [加密] 索引標籤。
- 在 [客戶自控金鑰] 區段下,啟用 [受控磁碟]。
設定加密欄位。
- 在 [密鑰標識子] 字段中,貼上 Azure Key Vault 金鑰的金鑰標識碼。
- 在 [訂用帳戶] 下拉式清單中,輸入 Azure Key Vault 金鑰的訂用帳戶名稱。
- 若要啟用金鑰的自動輪替,請啟用 [啟用金鑰的自動輪替]。
完成其餘索引標籤,然後按一下 [檢閱 + 建立] (適用於新的工作區) 或 [儲存] (適用於更新工作區)。
工作區部署之後,瀏覽至新的 Azure Databricks 工作區。
從 Azure Databricks 工作區的 [概觀] 索引標籤中,選取 [受控資源群組]。
在受控資源群組的 [概觀] 索引標籤中,尋找在此資源群組中建立的磁碟加密集 類型的物件。 複製磁碟加密集的名稱。
在 Azure 入口網站中,移至設定您要用於此功能的金鑰時所使用的 Azure Key Vault。
在側邊欄中,點擊 存取控制 (IAM)。
點選 + 新增 > 新增角色指派。
在 [角色] 索引標籤上,選取 [
Key Vault Crypto Service Encryption User]。在 [成員] 索引標籤上,按一下 [+ 選取成員] 。
搜尋並選取 Azure Databricks 工作區受控資源群組內的磁碟加密集名稱。
點擊 檢閱 + 指派 > 檢閱 + 指派。
備註
如果您的金鑰保存庫使用存取原則而非 RBAC,請遵循下列指示:
- 從左側面板開啟 [存取原則] 索引標籤。 開啟索引標籤之後,按一下頁面頂端的 [建立]。
- 在 [許可權] 索引標籤的 [密鑰權限] 區段下,啟用 取得、解開密鑰及 包裹密鑰。
- 按一下 [下一步] 。
- 在 [Principal] 索引標籤上,於搜尋列中輸入 Azure Databricks 工作區受控資源群組中磁碟加密集的名稱。 選取結果,然後點擊下一步。
- 按一下 [檢閱 + 建立] 索引標簽,然後按一下 [建立]。
使用 Azure CLI (無範本)
針對新的和更新的工作區,將這些參數新增至您的命令:
-
disk-key-name:金鑰的名稱 -
disk-key-vault:保存庫的名稱 -
disk-key-version:金鑰版本。 使用特定的金鑰版本,而不是latest。 -
disk-key-auto-rotation:啟用金鑰的自動輪替 (true或false)。 這是非必填欄位。 預設值為false。
在下列命令中,使用上一個步驟中回應中的保存庫 URI 值來取代 <key-vault-uri>。 此外,在上一個步驟的回應中,可以在 kid 值中找到密鑰名稱和金鑰版本值。
建立或更新工作區:
使用這些受控磁碟參數建立工作區的範例:
az databricks workspace create --name <workspace-name> \ --resource-group <resource-group-name> \ --location <location> \ --sku premium --disk-key-name <key-name> \ --disk-key-vault <key-vault-uri> \ --disk-key-version <key-version> \ --disk-key-auto-rotation <true-or-false>使用這些受控磁碟參數更新工作區的範例:
az databricks workspace update \ --name <workspace-name> \ --resource-group <resource-group-name> \ --disk-key-name <key-name> \ --disk-key-vault <key-vault-uri> \ --disk-key-version <key-version> \ --disk-key-auto-rotation <true-or-false>
在上述任一命令的輸出中,有一個
managedDiskIdentity物件。 儲存此物件中principalId屬性的值。 這會在後續步驟中用作主體 ID。將鑰匙庫加密服務的使用者角色授予您鑰匙庫中的 Azure Databricks 受管磁碟識別身分:
az keyvault role assignment create \ --role "Key Vault Crypto Service Encryption User" \ --assignee <workspace-managed-disk-identity-principal-id>
備註
如果您的金鑰保存庫使用存取原則而非 RBAC,請使用下列命令:
az keyvault set-policy \
--name <key-vault-name> \
--object-id <principal-id> \
--key-permissions get wrapKey unwrapKey
使用 PowerShell (無範本)
針對新的和更新的工作區,將這些參數新增至您的命令:
-
location:工作區位置 -
ManagedDiskKeyVaultPropertiesKeyName:金鑰名稱 -
ManagedDiskKeyVaultPropertiesKeyVaultUri:金鑰保存庫 URI -
ManagedDiskKeyVaultPropertiesKeyVersion:金鑰版本。 使用特定的金鑰版本,而不是latest。 -
ManagedDiskRotationToLatestKeyVersionEnabled:啟用金鑰的自動輪替 (true或false)。 這是非必填欄位。 預設值為 false。
建立或更新工作區:
使用受控磁碟參數建立工作區的範例:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -location $keyVault.Location \ -Sku premium \ -ManagedDiskKeyVaultPropertiesKeyName $key.Name \ -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \ -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabled使用受控磁碟參數更新工作區的範例:
$workspace = Update-AzDatabricksworkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -ManagedDiskKeyVaultPropertiesKeyName $key.Name \ -ManagedDiskKeyVaultPropertiesKeyVaultUri $keyVault.VaultUri \ -ManagedDiskKeyVaultPropertiesKeyVersion $key.Version -ManagedDiskRotationToLatestKeyVersionEnabled
將金鑰庫加密服務的「Encryption User」角色授與您的金鑰庫上 Azure Databricks 的受管理磁碟身分識別:
New-AzKeyVaultRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" -ObjectId $workspace.ManagedDiskIdentityPrincipalId
備註
如果您的金鑰保存庫使用存取原則而非 RBAC,請使用下列命令:
Set-AzKeyVaultAccessPolicy -VaultName $keyVault.VaultName \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId \
-PermissionsToKeys wrapkey,unwrapkey,get
使用 ARM 範本 (Azure portal 或 CLI)
您可以在 Azure 文件中探索 Azure 快速入門範本。 如需 ARM 範本部署選項的清單,請參閱 ARM 樣本檔。
當您建立工作區時,也會在工作區的受管理的資源群組內建立磁碟加密設置資源。 它具有系統指派的受控識別,可用來存取您的金鑰保存庫。 在 Azure Databricks 計算使用此金鑰來加密您的數據之前,您必須先擷取磁碟加密集的主體標識碼,然後將身分識別授與密鑰保存庫的 GET、WRAP和 UNWRAP 密鑰許可權。
Databricks 建議您建立或更新工作區,並在相同的範本部署中授與 Key Vault 許可權。 您必須先建立或更新工作區,才能授與 Key Vault 許可權,但有一個例外。 如果您更新現有的受控磁碟客戶自控密鑰工作區,以在新 Key Vault 中使用新金鑰,您必須將存取新 Key Vault 的許可權授與現有的磁碟加密集許可權,然後使用新的密鑰組態更新工作區。
本節中的範例範本會執行下列兩項操作:
- 建立或更新工作區以新增受控磁碟客戶自控金鑰設定
- 授與磁碟加密集存取金鑰保存庫的權限
您可以使用下列 ARM 範本範例,其會執行兩項操作:
- 使用受控磁碟客戶管理的金鑰建立或更新工作區。
- 建立金鑰存取原則。
如果您已經使用 ARM 範本,您可以將範例範本中的參數、資源和輸出合併到現有的範本。
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create"
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": ["premium"],
"metadata": {
"description": "The pricing tier of workspace"
}
},
"apiVersion": {
"type": "string",
"defaultValue": "2023-02-01",
"allowedValues": ["2023-02-01", "2022-04-01-preview"],
"metadata": {
"description": "The API version to use to create the workspace resources"
}
},
"keyVaultName": {
"type": "string",
"metadata": {
"description": "The Key Vault name used for CMK"
}
},
"keyName": {
"type": "string",
"metadata": {
"description": "The key name used for CMK"
}
},
"keyVersion": {
"type": "string",
"metadata": {
"description": "The key version used for CMK. Use the specific key version and not `latest`."
}
},
"keyVaultResourceGroupName": {
"type": "string",
"metadata": {
"description": "The resource group name of the Key Vault used for CMK"
}
},
"enableAutoRotation": {
"type": "bool",
"defaultValue": false,
"allowedValues": [true, false],
"metadata": {
"description": "Whether managed disk picks up new key versions automatically"
}
}
},
"variables": {
"managedResourceGroupName": "[concat('databricks-rg-', parameters('workspaceName'), '-', uniqueString(parameters('workspaceName'), resourceGroup().id))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"name": "[parameters('workspaceName')]",
"location": "[resourceGroup().location]",
"apiVersion": "[parameters('apiVersion')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[concat(subscription().id, '/resourceGroups/', variables('managedResourceGroupName'))]",
"encryption": {
"entities": {
"managedDisk": {
"keySource": "Microsoft.Keyvault",
"keyVaultProperties": {
"keyVaultUri": "[concat('https://', parameters('keyVaultName'), environment().suffixes.keyvaultDns)]",
"keyName": "[parameters('keyName')]",
"keyVersion": "[parameters('keyVersion')]"
},
"rotationToLatestKeyVersionEnabled": "[parameters('enableAutoRotation')]"
}
}
}
}
},
{
"type": "Microsoft.Resources/deployments",
"apiVersion": "2020-06-01",
"name": "addAccessPolicy",
"resourceGroup": "[parameters('keyVaultResourceGroupName')]",
"dependsOn": ["[resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName'))]"],
"properties": {
"mode": "Incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "0.9.0.0",
"resources": [
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"apiVersion": "2019-09-01",
"name": "[concat(parameters('keyVaultName'), '/add')]",
"properties": {
"accessPolicies": [
{
"objectId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.principalId]",
"tenantId": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-02-01').managedDiskIdentity.tenantId]",
"permissions": {
"keys": ["get", "wrapKey", "unwrapKey"]
}
}
]
}
}
]
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')))]"
}
}
}
使用範本搭配您想要的任何工具,包括 Azure 入口網站、CLI 或其他工具。 包含下列範本部署策略的詳細資料:
使用 Azure 入口網站套用 ARM 範本
若要在 Azure 入口網站中使用 ARM 範本建立或更新工作區,請執行下列動作:
登入 Azure 入口網站。
按一下 [建立資源],然後按一下 [範本部署 (使用自訂範本進行部署)]。
在 [自訂部署] 頁面中按一下 [在編輯器中建置您自己的範本]。
在編輯器中貼上範例範本的內容。
按一下 [檔案] 。
輸入您的參數值。
若要更新現有的工作區,請使用您用來建立工作區的相同參數。 若要第一次新增客戶管理的密鑰,請在 [
resources.properties.encryption.entities.managedDisk底下新增密鑰相關參數,如上述範本所示。 若要輪替金鑰,請變更部分或所有與金鑰相關的參數。重要
如果您更新工作區,範本中的資源組名和工作區名稱必須與資源組名和現有工作區的工作區名稱相同。
按一下 [檢閱 + 建立]。
解決任何驗證問題,然後按一下 [建立]。
重要
如果您輪替密鑰,在工作區更新完成之前,請勿刪除舊密鑰。
使用 Azure CLI 套用 ARM 範本
本節說明如何使用 ARM 範本搭配 Azure CLI,以密鑰建立或更新工作區。
檢查您的樣本是否包含
resources.properties.encryption.entities.managedDisk及其相關參數的 區段,keyvaultName、keyName、keyVersion和keyVaultResourceGroupName。 如果不存在,請參閱本節前面的範例,並將其中的範本及其參數合併到您的範本中。執行
az deployment group create命令。 只要資源群組名稱和工作區名稱與現有工作區的資源群組名稱和工作區名稱相同,此命令就會更新現有工作區,而不是建立新的工作區。 如果您要更新現有部署,請務必使用與先前所使用的相同資源群組和工作區名稱。az deployment group create --resource-group <existing-resource-group-name> \ --template-file <file-name>.json \ --parameters workspaceName=<workspace-name> \ keyvaultName=<key-vault-name> \ keyName=<key-name> keyVersion=<key-version> \ keyVaultResourceGroupName=<key-vault-resource-group>重要
如果您輪替金鑰,則只能在工作區更新完成之後刪除舊密鑰。
步驟 5:確認您的計算資源使用金鑰 (選用)
若要確認工作區已啟用受控磁碟客戶自控金鑰功能:
執行下列其中一項動作,擷取 Azure Databricks 工作區詳細資料:
Azure 入口網站
- 在 Azure 入口網站中,按一下 [工作區],然後按一下工作區的名稱。
- 在工作區頁面上,按一下 [JSON 檢視]。
- 按一下等於或高於
2022-04-01-previewAPI 版本的 API 版本。
Azure CLI
執行以下命令:
az databricks workspace show --resource-group <resource group name> --name <workspace name>受控磁碟加密參數位於
properties中。 例如:"properties": { "encryption": { "entities": { "managedDisk": { "keySource": "Microsoft.Keyvault", "keyVaultProperties": { "keyVaultUri": "<key-vault-uri>", "keyName": "<key-name>", "keyVersion": "<key-version>" }, "rotationToLatestKeyVersionEnabled": "<rotation-enabled>" } } }Powershell
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group-name> | Select-Object -Property ManagedDiskKeySource, ManagedDiskKeyVaultPropertiesKeyVaultUri, ManagedServicesKeyVaultPropertiesKeyName, ManagedServicesKeyVaultPropertiesKeyVersion, ManagedDiskRotationToLatestKeyVersionEnabled檢閱輸出中傳回之屬性的值:
ManagedDiskKeySource : Microsoft.Keyvault ManagedDiskKeyVaultPropertiesKeyVaultUri : <key-vault-uri> ManagedServicesKeyVaultPropertiesKeyName : <key-name> ManagedServicesKeyVaultPropertiesKeyVersion : <key-version> ManagedDiskRotationToLatestKeyVersionEnabled : <rotation-enabled>
為您的工作區建立任何計算資源,以用於測試:
如果計算資源無法成功啟動,通常是因為您需要將 磁碟加密集合授予 適當的許可權,來存取您的 Key Vault。
在 Azure 入口網站中,按一下 [工作區],然後按一下工作區的名稱。
在工作區頁面上,按一下工作區所屬的受控資源群組名稱。
在資源群組頁面的 [資源] 下,按一下虛擬機器的名稱。
在虛擬機器頁面左側的 [設定] 底下,按一下 [磁碟]。
在 [磁碟] 頁面的 [資料磁碟] 下,確認磁碟的 [加密] 欄位具有值 。
SSE with CMK
步驟 6:啟動先前終止的計算資源
- 確定工作區更新已完成。 如果金鑰是範本的唯一變更,這通常會在不到五分鐘內完成,否則可能需要更多時間。
- 手動啟動您稍早終止的任何計算資源。
如果有任何計算資源無法成功啟動,這通常是因為您需要授予磁碟加密組存取您的金鑰保存庫的許可權。
在稍後的時間輪替金鑰
在已經有一個金鑰的現有工作區中,有兩種類型的金鑰輪替:
- 自動輪替:如果
rotationToLatestKeyVersionEnabled是您工作區的true,磁碟加密集會偵測到密鑰版本的變更並指向最新的密鑰版本。 - 手動輪替:您可以使用新的金鑰來更新現有的受控磁碟客戶自控密鑰工作區。 請遵循上述指示,如同您最初將金鑰新增至現有工作區一樣。
疑難排解
叢集失敗並顯示 KeyVaultAccessForbidden
問題是叢集無法啟動,並出現下列錯誤:
Cloud Provider Launch Failure: KeyVaultAccessForbidden
將在工作區的受控資源群組中創建的磁碟加密集授與許可權,以存取您的 Key Vault。 所需權限:GET、WRAPKEY、UNWRAPKEY。
重新閱讀 步驟 4:建立或更新部署類型的工作區 的子區段,並特別注意具有特定許可權的 Key Vault 存取原則更新。
遺漏金鑰參數
問題在於受控磁碟的客戶管理金鑰參數遺失。
確認您的 ARM 範本對 Microsoft.Databricks/workspaces 資源使用正確的 API 版本。 受控磁碟客戶自控金鑰功能僅適用於 2022-04-01-preview 以後的 API 版本。 如果您使用其他 API 版本,則會建立或更新工作區,但會忽略受控磁碟參數。
工作區更新失敗,並出現 ApplicationUpdateFail
問題是已啟用受控磁碟的工作區更新或修補作業失敗,並出現下列錯誤:
Failed to update application: `<workspace name>`, because patch resource group failure. (Code: ApplicationUpdateFail)
授予磁碟加密集合給 Key Vault 的存取權,然後執行工作區更新作業,例如說新增標籤。
存取原則遺漏
問題是出現下列錯誤:
ERROR CODE: BadRequest MESSAGE: Invalid value found at accessPolicies[14].ObjectId: <objectId>
在金鑰保存庫中,具有上述物件識別碼的存取原則無效。 您必須將其移除,才能將新的存取原則新增至 Key Vault。
遺失的金鑰無法復原
遺失的金鑰無法復原。 如果您遺失或撤銷密鑰,且無法復原密鑰,Azure Databricks 計算資源就無法再運作。 工作區的其他功能則不受影響。
資源
- Azure 文件中的 Azure 受控磁碟
- Azure 文件中的 Azure 磁碟儲存體的伺服器端加密