Freigeben über


Kundenseitig verwaltete Schlüssel für verwaltete Dienste

Hinweis

Für dieses Feature ist der Premium-Plan erforderlich.

Um zusätzliche Kontrolle über Ihre Daten zu erhalten, können Sie Ihren eigenen Schlüssel hinzufügen, um den Zugriff auf einige Arten von Daten zu schützen und zu steuern. Azure Databricks verfügt über drei kundenseitig verwaltete Schlüsselfeatures für verschiedene Datentypen und Speicherorte. Informationen zum Vergleichen finden Sie unter Vom Kunden verwaltete Schlüssel" zur Verschlüsselung.

Verwaltete Dienstdaten in der Azure Databricks-Kontrollebene werden im Ruhezustand verschlüsselt. Sie können einen vom Kunden verwalteten Schlüssel für verwaltete Dienste hinzufügen, um den Zugriff auf die folgenden Typen verschlüsselter Daten zu schützen und zu steuern:

Nachdem Sie einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwalteter Dienste für einen Arbeitsbereich hinzugefügt haben, verwendet Azure Databricks Ihren Schlüssel, um den Zugriff auf den Schlüssel zu steuern, der zukünftige Schreibvorgänge in die verwalteten Dienstdaten Ihres Arbeitsbereichs verschlüsselt. Vorhandene Daten werden nicht erneut verschlüsselt. Der Datenverschlüsselungsschlüssel wird im Arbeitsspeicher für mehrere Lese- und Schreibvorgänge zwischengespeichert und in regelmäßigen Abständen aus dem Arbeitsspeicher entfernt. Neue Anforderungen für diese Daten erfordern eine weitere Anforderung an das Schlüsselverwaltungssystem Ihres Cloud-Diensts. Wenn Sie Ihren Schlüssel löschen oder widerrufen, schlägt das Lesen oder Schreiben in die geschützten Daten am Ende des Cache-Zeitintervalls fehl. Sie können den vom Kunden verwalteten Schlüssel zu einem späteren Zeitpunkt drehen (aktualisieren).

Wichtig

Wenn Sie den Schlüssel rotieren, müssen Sie den alten Schlüssel noch 24 Stunden lang verfügbar halten.

Diese Funktion verschlüsselt keine Daten, die außerhalb der Steuerungsebene gespeichert sind. Informationen zum Verschlüsseln von Daten im Speicherkonto des Arbeitsbereichs finden Sie unter Kundenseitig verwaltete Schlüssel für den DBFS-Stamm.

Sie können kundenseitig verwaltete Schlüssel mit Azure Key Vault-Tresoren oder Azure Key Vault-HSMs aktivieren: