使用 Azure 门户为 DBFS 配置客户管理的密钥

可以使用 Azure 门户来配置自己的加密密钥以加密工作区存储帐户。 本文介绍如何通过 Azure Key Vault 保管库配置你自己的密钥。 有关使用 Azure Key Vault 托管 HSM 中的密钥的说明，请参阅使用 Azure 门户为 DBFS 配置 HSM 客户管理的密钥。

要详细了解用于 DBFS 的客户管理的密钥，请参阅为 DBFS 根配置客户管理的密钥。

在 Azure Key Vault 中创建密钥

本部分介绍如何在 Azure Key Vault 中创建密钥。 必须使用与工作区位于同一Microsoft Entra ID 租户中的密钥保管库。

如果同一区域中已有一个密钥保管库，则可以跳过此过程中的第一步。 但是，请注意，使用 Azure 门户为 DBFS 根加密分配客户管理的密钥时，系统默认为密钥保管库启用 软删除 和 不清除 属性。 有关这些属性的详细信息，请参阅 Azure Key Vault 软删除概述。

1. 按照快速入门中的说明创建密钥保管库 ：使用 Azure 门户从 Azure Key Vault 设置和检索密钥。

   Azure Databricks 工作区和密钥保管库必须位于同一区域和相同的Microsoft Entra ID 租户中，但它们可以位于不同的订阅中。

2. 在密钥保管库中创建密钥，继续按照快速入门中的说明进行操作。

   DBFS 根存储支持 2048、3072 和 4096 大小的 RSA 和 RSA-HSM 密钥。 有关密钥的详细信息，请参阅 “关于 Azure Key Vault 密钥”。

3. 创建密钥后，将密钥标识符复制并粘贴到文本编辑器中。 为 Azure Databricks 配置密钥时将需要用到它。

使用密钥加密工作区存储帐户

必须在 Azure Key Vault 密钥上具有 Key Vault 参与者角色 。

1. 在 Azure 门户中转到 Azure Databricks 服务资源。

2. 在左侧菜单中的“设置”下，选择“加密”。

   

3. 选择“使用自己的密钥”，输入密钥的“密钥标识符”，并选择包含密钥的“订阅”。 如果未提供密钥版本，则会使用最新密钥版本。 有关信息，请参阅有关密钥版本的 Azure 文档。

4. 单击“保存”以保存密钥配置。

启用加密后，系统会在密钥保管库上启用 软删除 和 清除保护 ，在 DBFS 根目录上创建托管标识，并在密钥保管库中添加此标识的访问策略。

重新生成（轮换）密钥

重新生成密钥时，必须返回到 Azure Databricks 服务资源中的“加密”页，使用新的密钥标识符更新“密钥标识符”字段，然后单击“保存”。 这适用于同一密钥和新密钥的新版本。