使用 Azure 入口網站 為 DBFS 設定 HSM 客戶管理的金鑰

注意

此功能僅適用於 進階方案。

您可以使用 Azure 入口網站 來設定自己的加密金鑰來加密工作區記憶體帳戶。 本文說明如何從 Azure 金鑰保存庫 受控 HSM 設定您自己的密鑰。 如需從 Azure 金鑰保存庫 保存庫使用金鑰的指示，請參閱使用 Azure 入口網站 設定 DBFS 的客戶自控密鑰。

重要

Key Vault 與 Azure Databricks 工作區必須位於相同的 Azure 租用戶中。

如需 DBFS 客戶自控密鑰的詳細資訊，請參閱 DBFS 根目錄的客戶自控密鑰。

建立 Azure 金鑰保存庫 受控 HSM 和 HSM 金鑰

您可以使用現有的 Azure 金鑰保存庫 受控 HSM，或建立並啟用下列快速入門：使用 Azure CLI 布建和啟用受控 HSM。 Azure Key Vault 受控 HSM 必須啟用 [清除保護]。

若要建立 HSM 金鑰，請遵循建立 HSM 金鑰。

準備工作區記憶體帳戶

1. 移至 Azure 入口網站 中的 Azure Databricks 服務資源。

2. 在左側功能表中的 [自動化] 下，選取 [導出範本]。

3. 按一下 [部署]。

4. 按兩下 [編輯範本]，搜尋 prepareEncryption，然後修改保存庫以 true 輸入。 例如：

     "prepareEncryption": {
              "type": "Bool",
              "value": "true"
           }
   

5. 按一下 [檔案] 。

6. 按兩下 [ 檢閱 + 建立 ] 以部署變更。

7. 在右側的 [基本資訊] 底下，按兩下 [JSON 檢視]。

8. 搜尋 storageAccountIdentity，並複製 principalId。

設定受控 HSM 角色指派

1. 轉至 Azure 入口網站中的受控 HSM 資源。
2. 在左側功能表中，選取 [設定] 下方的 [本機 RBAC]。
3. 按一下新增。
4. 在 [角色] 欄位中，選取 [受控 HSM 加密服務加密使用者]。
5. 在 [ 範圍] 欄位中，選取 All keys (/)。
6. 在 [ 安全性主體 ] 欄位中，於搜尋欄中輸入 principalId 工作區記憶體帳戶的 。 選取結果。
7. 按一下 [建立]。
8. 在左側功能表中的 [設定] 底下，選取 [金鑰]，然後選取您的密鑰。
9. 在 [ 金鑰識別碼] 欄位中，複製文字。

使用 HSM 金鑰加密工作區記憶體帳戶

1. 移至 Azure 入口網站 中的 Azure Databricks 服務資源。
2. 在左側功能表中的 [設定] 底下，選取 [加密]。
3. 選取 [使用您自己的金鑰]，輸入受控 HSM 金鑰的 密鑰標識碼，然後選取 包含金鑰的訂 用帳戶。
4. 按兩下 [ 儲存 ] 以儲存金鑰組態。

重新產生 （輪替） 金鑰

當您重新產生金鑰時，您必須返回 Azure Databricks 服務資源中的 [加密 ] 頁面，以新的金鑰標識碼更新 [金鑰標識碼 ] 字段，然後按下 [ 儲存]。 這適用於相同金鑰的新版本，以及新的金鑰。

重要

如果您刪除用於加密的金鑰，則無法存取 DBFS 根目錄中的數據。