Claves administradas por el cliente para procesos de cifrado
En este artículo se proporciona información general sobre las claves administradas por el cliente para el cifrado.
Nota:
Esta característica requiere el plan Premium.
Introducción a las claves administradas por el cliente para el cifrado
Algunos servicios y compatibilidad con datos agregan una clave administrada por el cliente para ayudar a proteger y controlar el acceso a los datos cifrados. Puede usar el servicio de administración de claves en la nube para mantener una clave de cifrado administrada por el cliente.
Azure Databricks admite claves administradas por el cliente desde almacenes de Azure Key Vault y HSM administrados de Azure Key Vault (módulos de seguridad de hardware).
Azure Databricks tiene tres características clave administradas por el cliente para diferentes tipos de datos:
- Claves administradas por el cliente para discos administrados por Azure
- Claves administradas por el cliente para servicios administrados
- Claves administradas por el cliente para la raíz de DBFS
En la tabla siguiente se enumeran las características clave administradas por el cliente que se usan según el tipo de datos.
| Tipo de datos | Location | Característica de clave administrada por el cliente |
|---|---|---|
| Paneles de IA o BI | Plano de control | Servicios administrados |
| Origen y metadatos de Notebook | Plano de control | Servicios administrados |
| Tokens de acceso personal (PAT) u otras credenciales que se usan para integración de Git con carpetas de Git de Databricks | Plano de control | Servicios administrados |
| Secretos almacenados por las API del administrador de secretos | Plano de control | Servicios administrados |
| Consultas e historial de consultas de Databricks SQL | Plano de control | Servicios administrados |
| Índice de vectores de búsqueda y de metadatos | Plano de proceso sin servidor | Servicios administrados |
| Datos raíz de DBFS accesibles para el cliente | La raíz de DBFS del área de trabajo en la cuenta de almacenamiento del área de trabajo en la suscripción de Azure. Esto también incluye el área FileStore. | Raíz de DBFS |
| Resultados del trabajo | Cuenta de almacenamiento del área de trabajo en la suscripción de Azure | Raíz de DBFS |
| Resultados de Databricks SQL | Cuenta de almacenamiento del área de trabajo en la suscripción de Azure | Raíz de DBFS |
| Modelos de MLflow | Cuenta de almacenamiento del área de trabajo en la suscripción de Azure | Raíz de DBFS |
| Delta Live Table | Si usa una ruta de acceso de DBFS en la raíz de DBFS, se almacena en la cuenta de almacenamiento del área de trabajo en la suscripción de Azure. Esto no se aplica a las rutas de acceso de DBFS que representan puntos de montaje a otros orígenes de datos. | Raíz de DBFS |
| Resultados interactivos de cuadernos | De forma predeterminada, cuando se ejecuta un cuaderno de forma interactiva (en lugar de como trabajo), los resultados se almacenan en el plano de control para obtener un rendimiento con algunos resultados grandes almacenados en la cuenta de almacenamiento del área de trabajo de la suscripción de Azure. Puede configurar Azure Databricks para almacenar todos los resultados de cuadernos interactivos en su cuenta de almacenamiento del área de trabajo. Consulte Configuración de la ubicación de almacenamiento para los resultados interactivos del cuaderno. | Para obtener resultados parciales en el plano de control, use una clave administrada por el cliente para los servicios administrados. Para obtener resultados en la cuenta de almacenamiento del área de trabajo, que puede configurar para todo el almacenamiento de resultados, use una clave administrada por el cliente para raíz de DBFS. |
| Otros datos del sistema del área de trabajo de la cuenta de almacenamiento del área de trabajo inaccesibles a través de DBFS, como las revisiones del cuaderno. | Cuenta de almacenamiento del área de trabajo en la suscripción de Azure | Raíz de DBFS |
| Discos administrados | Almacenamiento temporal en disco de máquinas virtuales en recursos de proceso, como clústeres. Solo se aplica a los recursos de proceso del plano de proceso clásico de la suscripción de Azure. Consulte Claves administradas por el cliente y proceso sin servidor. | Discos administrados |
Para mayor seguridad para la instancia de la cuenta de almacenamiento del área de trabajo de la suscripción de Azure, puede habilitar el cifrado doble y el soporte de firewall. Consulte Configurar el cifrado doble para la raíz DBFS y Habilitar el soporte de firewall para su cuenta de almacenamiento del área de trabajo.
Importante
Solo los paneles de INTELIGENCIA ARTIFICIAL y BI creados después del 1 de noviembre de 2024 se cifran y son compatibles con las claves administradas por el cliente.
Claves administradas por el cliente y proceso sin servidor
Databricks SQL sin servidor admite:
Claves administradas por el cliente para servicios administrados para consultas SQL de Databricks e historial de consultas.
Claves administradas por el cliente para el almacenamiento de raíz DBFS para los resultados de Databricks SQL.
Claves administradas por el cliente para el almacenamiento en disco administrado no se aplican a los recursos de proceso sin servidor. Los discos para los recursos de procesos sin servidor duran poco y están vinculados al ciclo de vida de la carga de trabajo sin servidor. Cuando los recursos de procesos se detienen o se reducen verticalmente, se destruyen las máquinas virtuales y su almacenamiento.
Servicio de modelos
Los recursos para Servicio de modelos, una característica de proceso sin servidor, generalmente se encuentran en dos categorías:
- Los recursos que cree para el modelo se almacenan en la raíz de DBFS del área de trabajo, en el almacenamiento del área de trabajo en ADLSgen2 (para áreas de trabajo anteriores, Blob Storage). Esto incluye los artefactos del modelo y los metadatos de versión. Tanto el registro del modelo de área de trabajo como MLflow usan este almacenamiento. Puede configurar este almacenamiento para que use claves administradas por el cliente.
- Los recursos que Azure Databricks crea directamente en su nombre incluyen la imagen del modelo y el almacenamiento de proceso sin servidor efímero. Se cifran con claves administradas por Databricks y no admiten claves administradas por el cliente.
Las claves administradas por el cliente para el almacenamiento en disco administradono se aplican a los recursos de proceso sin servidor. Los discos para los recursos de procesos sin servidor duran poco y están vinculados al ciclo de vida de la carga de trabajo sin servidor. Cuando los recursos de procesos se detienen o se reducen verticalmente, se destruyen las máquinas virtuales y su almacenamiento.