Claves administradas por el cliente para la raíz de DBFS

  • Artículo

Nota:

Esta característica solo está disponible en el plan Premium.

Para disponer de un mayor control sobre los datos, puede agregar su propia clave para proteger y controlar el acceso a ciertos tipos de datos. Azure Databricks posee dos características de clave administrada por el cliente que se aplican a diferentes tipos de datos y ubicaciones. Para obtener una comparación entre ambas, consulte el artículo Claves administradas por el cliente para procesos de cifrado.

De manera predeterminada, la cuenta de almacenamiento se cifran con claves administradas por Microsoft. Después de agregar una clave administrada por el cliente para la raíz de DBFS, Azure Databricks usa la clave para cifrar todos los datos de Blob Storage raíz del área de trabajo.

  • Blob Storage raíz contiene la raíz de DBFS del área de trabajo, que es la ubicación de almacenamiento predeterminada en DBFS. El sistema de archivos de Databricks (DBFS) es un sistema de archivos distribuido montado en un área de trabajo de Azure Databricks y disponible en los clústeres de Azure Databricks. El sistema DBFS se implementa en forma de una instancia de Blob Storage en el grupo de recursos administrado de un área de trabajo de Azure Databricks. El almacenamiento raíz de DBFS incluye modelos de MLflow y datos de Delta Live Table en la raíz de DBFS (pero no para los montajes de DBFS).
  • Blob Storage raíz también incluye los datos del sistema del área de trabajo (no accesibles directamente mediante el uso de las rutas de acceso de DBFS), que incluye los resultados del trabajo, los resultados de Databricks SQL, las revisiones del cuaderno y otros datos del área de trabajo.

Importante

Aunque esta característica afecta a la raíz de DBFS, esta no se usará para cifrar los datos de los montajes DBFS adicionales, como los montajes DBFS adicionales de Blob Storage o ADLS.

Debe usar Azure Key Vault para almacenar las claves administradas por el cliente. Puede almacenar las claves en almacenes de Azure Key Vault o módulos de seguridad de hardware administrados (HSM) de Azure Key Vault. Para más información sobre los almacenes y HSM de Azure Key Vault, consulte Acerca de las claves de Key Vault. Hay distintas instrucciones para usar almacenes de Azure Key Vault y HSM de Azure Key Vault.

La instancia de Key Vault debe estar en el mismo inquilino de Azure que el área de trabajo de Azure Databricks.

Puede habilitar claves administradas por el cliente mediante almacenes de Azure Key Vault para el almacenamiento de DBFS de tres maneras diferentes:

También puede habilitar claves administradas por el cliente mediante los HSM de Azure Key Vault para el almacenamiento de DBFS de tres maneras diferentes: