使用 Azure 入口網站 為 DBFS 設定客戶管理的金鑰

注意

此功能僅適用於 進階方案。

您可以使用 Azure 入口網站 來設定自己的加密金鑰來加密工作區記憶體帳戶。 本文說明如何從 Azure 金鑰保存庫 儲存庫設定您自己的金鑰。 如需從 Azure 金鑰保存庫 受控 HSM 使用金鑰的指示，請參閱使用 Azure 入口網站 設定 DBFS 的 HSM 客戶自控密鑰。

如需 DBFS 客戶自控密鑰的詳細資訊，請參閱 DBFS 根目錄的客戶自控密鑰。

在 Azure 金鑰保存庫 中建立金鑰

本節說明如何在 Azure 金鑰保存庫 中建立密鑰。 您必須使用與您工作區位於相同Microsoft Entra ID 租使用者中的 金鑰保存庫。

如果您已在相同區域中已有現有的 金鑰保存庫，您可以略過此程式中的第一個步驟。 不過，請注意，當您使用 Azure 入口網站 指派客戶自控密鑰以進行 DBFS 根加密時，系統會針對您的 金鑰保存庫 啟用虛刪除和不要清除屬性。 如需這些屬性的詳細資訊，請參閱 Azure 金鑰保存庫 虛刪除概觀。

1. 依照 快速入門中的指示建立 Key Vault：使用 Azure 入口網站設定和擷取 Azure Key Vault 中的金鑰。

   Azure Databricks 工作區和 金鑰保存庫 必須位於相同的區域和相同的Microsoft Entra ID 租使用者，但它們可以位於不同的訂用帳戶中。

2. 在 金鑰保存庫 中建立密鑰，繼續遵循快速入門中的指示。

   DBFS 根記憶體支援大小為 2048、3072 和 4096 的 RSA 和 RSA-HSM 金鑰。 如需金鑰的相關詳細資訊，請參閱關於金鑰保存庫金鑰。

3. 建立金鑰之後，請將 金鑰標識碼 複製並貼到文字編輯器中。 當您設定 Azure Databricks 的金鑰時，您將需要它。

使用金鑰加密工作區記憶體帳戶

1. 移至 Azure 入口網站 中的 Azure Databricks 服務資源。

2. 在左側功能表中，在 [設定]下，選取 [加密]。

   

3. 選取 [使用您自己的金鑰，輸入金鑰 金鑰標識碼，然後選取包含金鑰的 訂用帳戶。 如果未提供金鑰版本，則會使用最新版的金鑰。 如需相關信息，請參閱 有關密鑰版本的 Azure 檔文章。

4. 按兩下 [ 儲存 ] 以儲存金鑰組態。

   注意

   只有具有 金鑰保存庫 金鑰保存庫 參與者角色或更高角色的使用者才能儲存。

啟用加密時，系統會在 金鑰保存庫 上啟用虛刪除和清除保護、在 DBFS 根目錄上建立受控識別，並在 金鑰保存庫 中新增此身分識別的存取原則。

重新產生 （輪替） 金鑰

當您重新產生金鑰時，您必須回到 Azure Databricks 服務資源中的 [加密] 頁面，使用新的密鑰標識碼更新 [密鑰標識碼] 字段，然後按兩下 [儲存]。 這適用於相同金鑰的新版本，以及新的金鑰。

重要

如果您刪除用於加密的金鑰，則無法存取 DBFS 根目錄中的數據。 您可以使用 Azure 金鑰保存庫 API 來復原已刪除的金鑰。