您可以在由Azure Keyvault支持的Databricks中创建范围，而不是使用Databricks CLI。但是，当您尝试创建范围时，会显示模糊的错误消息（拼写错误！）。似乎没有多少人遇到此错误：

“在向KeyVault的Databricks服务主体授予读取/列表权限时发生内部错误：XYZ”

在这种情况下，将“管理主体”设置为“所有用户”无济于事。

我发现这是Azure AD中的服务主体问题。我登录到Databricks的那个特定用户不是AD贡献者，而仅在Databricks和Keyvault服务上具有贡献者角色。我在Databricks的AD中找不到任何默认的对象ID，所以我认为它是在动态创建服务主体并将Databricks与Keyvault连接（我在这里可能是错误的-启用Databricks资源提供程序时，它可能已存在于AD中） 。

以具有创建服务主体权限的管理员身份登录解决了该问题。之后，您可以在Key Vault中看到用于密钥检索的DB服务主体：