使用 Azure 入口網站 為 DBFS 設定 HSM 客戶管理的金鑰

注意

此功能僅適用於 進階方案。

您可以使用 Azure 入口網站 來設定自己的加密金鑰來加密工作區記憶體帳戶。 本文說明如何從 Azure 金鑰保存庫 受控 HSM 設定您自己的密鑰。 如需從 Azure 金鑰保存庫 保存庫使用金鑰的指示，請參閱使用 Azure 入口網站 設定 DBFS 的客戶自控密鑰。

重要

Key Vault 與 Azure Databricks 工作區必須位於相同的 Azure 租用戶中。

如需 DBFS 客戶自控密鑰的詳細資訊，請參閱 DBFS 根目錄的客戶自控密鑰。

建立 Azure 金鑰保存庫 受控 HSM 和 HSM 金鑰

您可以使用現有的 Azure 金鑰保存庫 受控 HSM，或建立並啟用下列快速入門：使用 Azure CLI 布建和啟用受控 HSM。 Azure Key Vault 受控 HSM 必須啟用 [清除保護]。

若要建立 HSM 金鑰，請遵循建立 HSM 金鑰。

準備工作區記憶體帳戶

1. 移至 Azure 入口網站 中的 Azure Databricks 服務資源。

2. 在左側選單中，於 自動化下方，選擇 select匯出範本。

3. 按一下 [部署]。

4. 按兩下 [編輯範本]，搜尋 prepareEncryption，然後修改保存庫以 true 輸入。 例如：

     "prepareEncryption": {
              "type": "Bool",
              "value": "true"
           }
   

5. 按一下 [檔案] 。

6. 按兩下 [ 檢閱 + 建立 ] 以部署變更。

7. 在右側的 [基本資訊] 底下，按兩下 [JSON 檢視]。

8. 搜尋 storageAccountIdentity，並複製 principalId。

設定受控 HSM 角色指派

1. 轉至 Azure 入口網站中的受控 HSM 資源。
2. 在左側功能表中，在 [設定]底下，select[本機 RBAC]。
3. 按一下新增。
4. 在 [角色] 欄位中，select受控 HSM 加密服務加密使用者。
5. 在 [範圍] 欄位中，selectAll keys (/)。
6. 在 [ 安全性主體 ] 欄位中，於搜尋欄中輸入 principalId 工作區記憶體帳戶的 。 Select 結果。
7. 按一下 [建立]。
8. 在左側功能表中，[設定]底下，select[金鑰] 並 select 您的金鑰。
9. 在 [金鑰 Identifier] 欄位中，複製文字。

使用 HSM 金鑰加密工作區記憶體帳戶

1. 移至 Azure 入口網站 中的 Azure Databricks 服務資源。
2. 在左側功能表中，在 [設定]底下，select[加密]。
3. Select 使用您自己的金鑰，輸入受管控的 HSM 金鑰 之金鑰 Identifier，並 select 包含金鑰的 訂用帳戶。
4. 按兩下 [ 儲存 ] 以儲存金鑰組態。

重新產生 （輪替） 金鑰

當您重新產生金鑰時，您必須回到 Azure Databricks 服務資源中的 [加密] 頁面，update 新的金鑰 identifier金鑰 Identifier 字段，然後按兩下 [[儲存]。 這適用於相同金鑰的新版本，以及新的金鑰。

重要

如果您刪除用於加密的金鑰，則無法存取 DBFS 根目錄中的數據。