使用 Azure 入口網站為 DBFS 設定客戶管理的金鑰

注意

此功能僅適用於進階版方案。

您可以使用 Azure 入口網站來設定自己的加密金鑰來加密工作區記憶體帳戶。本文說明如何從 Azure 金鑰保存庫儲存庫設定您自己的金鑰。如需使用來自 Azure 金鑰保存庫受控 HSM 之密鑰的指示，請參閱使用 Azure 入口網站設定 DBFS 的 HSM 客戶自控密鑰。

如需 DBFS 客戶自控密鑰的詳細資訊，請參閱 DBFS 根目錄的客戶自控密鑰。

在 Azure 金鑰保存庫中建立金鑰

本節說明如何在 Azure 金鑰保存庫中建立密鑰。您必須使用與工作區位於相同 Microsoft Entra ID（先前稱為 Azure Active Directory）租使用者中的金鑰保存庫。

如果您已在相同區域中已有現有的金鑰保存庫，您可以略過此程式中的第一個步驟。不過，請注意，當您使用 Azure 入口網站來指派客戶管理的 DBFS 根加密密鑰時，系統預設會啟用 金鑰保存庫的虛刪除和請勿清除屬性。如需這些屬性的詳細資訊，請參閱 Azure 金鑰保存庫虛刪除概觀。

依照快速入門中的指示建立金鑰保存庫：使用 Azure 入口網站，從 Azure 金鑰保存庫設定和擷取密鑰。

Azure Databricks 工作區和金鑰保存庫必須位於相同的區域和相同的 Microsoft Entra ID 租使用者中，但它們可以位於不同的訂用帳戶中。
在金鑰保存庫中建立密鑰，繼續遵循快速入門中的指示。

DBFS 根記憶體支援大小為 2048、3072 和 4096 的 RSA 和 RSA-HSM 金鑰。如需金鑰的相關詳細資訊，請參閱關於金鑰保存庫金鑰。
建立金鑰之後，請將金鑰標識碼複製並貼到文字編輯器中。當您設定 Azure Databricks 的金鑰時，您將需要它。

移至 Azure 入口網站中的 Azure Databricks 服務資源。
在左側功能表中，選取 [設定] 底下的 [加密]。
選取 [使用您自己的金鑰]，輸入金鑰的 [金鑰標識元]，然後選取 包含金鑰的 [訂 用帳戶]。 如果未提供金鑰版本，則會使用最新版的金鑰。如需相關信息，請參閱有關密鑰版本的 Azure 檔文章。
按兩下 [ 儲存 ] 以儲存金鑰組態。

注意

只有具有金鑰保存庫金鑰保存庫參與者角色或更高角色的使用者才能儲存。

啟用加密時，系統會在金鑰保存庫上啟用虛刪除和清除保護、在 DBFS 根目錄上建立受控識別，並在金鑰保存庫中新增此身分識別的存取原則。

當您重新產生金鑰時，您必須返回 Azure Databricks 服務資源中的 [加密 ] 頁面，以新的金鑰標識碼更新 [金鑰標識碼 ] 字段，然後按下 [ 儲存]。這適用於相同金鑰的新版本，以及新的金鑰。

重要

如果您刪除用於加密的金鑰，則無法存取 DBFS 根目錄中的數據。您可以使用 Azure 金鑰保存庫 API 來復原已刪除的金鑰。