Не удается создать секретную область в блоках данных, поддерживаемых хранилищем ключей Azure

Question

Вы можете создавать области действия в Databricks на основе Azure Keyvault вместо использования интерфейса командной строки Databricks. Однако, когда вы пытаетесь создать Scope, появляется неясное сообщение об ошибке (с орфографической ошибкой!). Похоже, что не многие люди сталкиваются с этой ошибкой:

"Произошла внутренняя ошибка при предоставлении разрешения на чтение / список субъекту службы Databricks для KeyVault: XYZ"

Настройка управления принципалом для всех пользователей в этом случае НЕ помогает.

Answer 1

Я понял, что это проблема принципала службы в Azure AD. Этот конкретный пользователь, с которым я вошел в систему Databricks, не был участником AD и имел только роль Contributer в службе Databricks and Keyvault. Я не смог найти идентификатор объекта по умолчанию в AD для блоков данных, поэтому предположил, что он создает субъект-службу на лету и соединяет блоки данных с Keyvault (я могу ошибаться - он может уже существовать в AD, когда вы включаете провайдер ресурсов Databricks) .

Вход в систему в качестве администратора с правами на создание участников службы решил проблему. После этого вы можете увидеть в хранилище ключей субъект службы БД, используемый для поиска ключа: