在 Azure Key Vault 支持的 Databricks 中创建 Secret Scope 失败
Rod*_*ney 5 azure azure-keyvault azure-databricks
可以在 Azure Keyvault 支持的 Databricks 中创建范围,而不是使用 Databricks CLI。但是,当您尝试创建 Scope 时,会显示一条模糊的错误消息(拼写错误!)。似乎没有多少人遇到此错误:
“向 KeyVault: XYZ 授予 Databricks 服务主体的读取/列表权限时发生内部错误”
在这种情况下,将管理主体设置为所有用户无济于事。
我认为这是 Azure AD 中的服务主体问题。我登录到 Databricks 时使用的这个特定用户不是 AD 贡献者,并且只在 Databricks 和 Keyvault 服务上具有贡献者角色。我在 AD 中找不到 Databricks 的任何默认对象 ID,所以我假设它正在动态创建服务主体并将 Databricks 与 Keyvault 连接(我可能在这里错了 - 当您启用 Databricks 资源提供程序时,它可能已经存在于 AD 中) .
以具有创建服务主体的权限的管理员身份登录解决了该问题。之后,您可以在 Key Vault 中看到用于密钥检索的数据库服务主体:
- “AzureDatabricks”服务主体已存在;它作为企业应用程序位于Azure Active Directory中(https://portal.azure.com/#blade/Microsoft_AAD_IAM/ManagedAppMenuBlade/Overview/appId/2ff814a6-3304-4ab8-85cb-cd0e6f879c1d/objectId/bf7cad41-7aa5-4861- b2c2-0338ae283d12)。您不需要创建服务主体的权限即可让此过程正常运行,但您确实需要拥有 Key Vault 的所有者权限,以便它可以为“AzureDatabricks”创建访问策略。 (2认同)
| 归档时间: |
|
| 查看次数: |
7600 次 |
| 最近记录: |