使用 Azure 入口網站 為 DBFS 設定 HSM 客戶管理的金鑰

注意

此功能僅適用於 進階版 方案。

您可以使用 Azure 入口網站 來設定自己的加密金鑰來加密工作區記憶體帳戶。 本文說明如何從 Azure 金鑰保存庫 受控 HSM 設定您自己的密鑰。 如需從 Azure 金鑰保存庫 保存庫使用金鑰的指示，請參閱使用 Azure 入口網站 設定 DBFS 的客戶自控密鑰。

重要

金鑰保存庫 必須與 Azure Databricks 工作區位於相同的 Azure 租使用者中。

如需 DBFS 客戶自控密鑰的詳細資訊，請參閱 DBFS 根目錄的客戶自控密鑰。

建立 Azure 金鑰保存庫 受控 HSM 和 HSM 金鑰

您可以使用現有的 Azure 金鑰保存庫 受控 HSM，或建立並啟用下列快速入門：使用 Azure CLI 布建和啟用受控 HSM。 Azure 金鑰保存庫 受控 HSM 必須啟用清除保護。

若要建立 HSM 金鑰，請遵循 建立 HSM 金鑰。

準備工作區記憶體帳戶

1. 移至 Azure 入口網站 中的 Azure Databricks 服務資源。

2. 在左側功能表中的 [自動化] 下，選取 [導出範本]。

3. 按一下 [部署]。

4. 按兩下 [編輯範本]，搜尋 prepareEncryption，然後修改保存庫以 true 輸入。 例如：

     "prepareEncryption": {
              "type": "Bool",
              "value": "true"
           }
   

5. 按一下 [檔案] 。

6. 按兩下 [ 檢閱 + 建立 ] 以部署變更。

7. 在右側的 [基本資訊] 底下，按兩下 [JSON 檢視]。

8. 搜尋 storageAccountIdentity，並複製 principalId。

設定受控 HSM 角色指派

1. 移至 Azure 入口網站 中的受控 HSM 資源。
2. 在左側功能表中，選取 [設定] 下的 [本機 RBAC]。
3. 按一下新增。
4. 在 [ 角色] 欄位中，選取 [受控 HSM 加密服務加密使用者]。
5. 在 [ 範圍] 欄位中，選取 All keys (/)。
6. 在 [ 安全性主體 ] 欄位中，於搜尋欄中輸入 principalId 工作區記憶體帳戶的 。 選取結果。
7. 按一下 [建立]。
8. 在左側功能表中，選取 [設定]，選取 [金鑰]，然後選取您的密鑰。
9. 在 [ 金鑰識別碼] 欄位中，複製文字。

使用 HSM 金鑰加密工作區記憶體帳戶

1. 移至 Azure 入口網站 中的 Azure Databricks 服務資源。
2. 在左側功能表中，選取 [設定] 底下的 [加密]。
3. 選取 [使用您自己的金鑰]，輸入受控 HSM 金鑰的 密鑰標識碼，然後選取 包含金鑰的訂 用帳戶。
4. 按兩下 [ 儲存 ] 以儲存金鑰組態。

重新產生 （輪替） 金鑰

當您重新產生金鑰時，您必須返回 Azure Databricks 服務資源中的 [加密 ] 頁面，以新的金鑰標識碼更新 [金鑰標識碼 ] 字段，然後按下 [ 儲存]。 這適用於相同金鑰的新版本，以及新的金鑰。

重要

如果您刪除用於加密的金鑰，則無法存取 DBFS 根目錄中的數據。