Partager via


Clés gérées par le client pour le chiffrement

Cet article fournit une vue d’ensemble des clés gérées par le client pour le chiffrement.

Remarque

cette fonctionnalité nécessite le plan Premium.

Clés gérées par le client pour le chiffrement

Certains services et données permettent d’ajouter une clé gérée par le client pour protéger et contrôler l’accès aux données chiffrées. Vous pouvez utiliser le service de gestion des clés dans votre cloud pour maintenir une clé de chiffrement gérée par le client.

Azure Databricks prend en charge les clés managées par le client depuis les coffres Azure Key Vault et les HSM (Hardware Security Modules/Modules de sécurité matérielle) managés par Azure Key Vault.

Azure Databricks dispose de trois fonctionnalités de clés gérées par le client pour différents types de données :

Le tableau suivant répertorie les fonctionnalités de clés gérées par le client utilisées pour chaque type de données.

Type de données Emplacement Fonctionnalité de clé gérée par le client
Tableaux de bord IA/BI Plan de contrôle Services managés
Source et métadonnées du notebook Plan de contrôle Services managés
Jetons d’accès personnels (PAT) ou autres informations d’identification utilisés pour l’intégration de Git avec des dossiers Git Databricks Plan de contrôle Services managés
Secrets stockés par les API du gestionnaire de secrets Plan de contrôle Services managés
Requêtes SQL de Databricks et historique des requêtes Plan de contrôle Services managés
Index et métadonnées de recherche vectorielle Plan de calcul serverless Services managés
Données racine DBFS accessibles au client Racine DBFS de votre espace de travail dans votre espace de travail dans votre abonnement Azure. Cela inclut également la zone FileStore. Racine DBFS
Résultats de la tâche Compte de stockage d’espace de travail dans votre abonnement Azure Racine DBFS
Résultats de Databricks SQL Compte de stockage d’espace de travail dans votre abonnement Azure Racine DBFS
Modèles MLflow Compte de stockage d’espace de travail dans votre abonnement Azure Racine DBFS
Delta Live Table Si vous utilisez un chemin d’accès DBFS à la racine DBFS, celui-ci est stocké dans le compte de stockage de votre espace de travail dans votre abonnement Azure. Cela ne s’applique pas aux chemins DBFS qui représentent des points de montage vers d’autres sources de données. Racine DBFS
Résultats d’un notebook interactif Par défaut, quand vous exécutez un notebook de manière interactive (plutôt que sous forme de travail), les résultats sont stockés dans le plan de contrôle pour des raisons de performance, et certains résultats volumineux sont stockés dans le compte de stockage de votre espace de travail dans votre abonnement Azure. Vous pouvez choisir de configurer Azure Databricks pour stocker tous les résultats de notebook interactif dans le compte de stockage de votre espace de travail. Consultez Configurer l’emplacement de stockage des résultats de notebooks interactifs. Pour obtenir des résultats partiels dans le plan de contrôle, utilisez une clé gérée par le client pour les services managés. Pour les résultats situés dans le compte de stockage de l’espace de travail, que vous pouvez configurer pour l’ensemble du stockage des résultats, utilisez une clé gérée par le client pour la racine DBFS.
Autres données système d’espace de travail présentes dans le compte de stockage de l’espace de travail, qui sont inaccessibles via DBFS, par exemple les révisions de notebooks. Compte de stockage d’espace de travail dans votre abonnement Azure Racine DBFS
Disques managés Stockage sur disque temporaire des machines virtuelles dans des ressources de calcul, comme des clusters. S’applique uniquement aux ressources de calcul dans le plan de calcul classique de votre abonnement Azure. Consultez Calcul serverless et clés gérées par le client. Disques managés

Pour renforcer la sécurité de l’instance de compte de stockage de votre espace de travail de votre espace de travail dans votre abonnement Azure, vous pouvez activer le chiffrement double et la prise en charge du pare-feu. Consultez Configurer le double chiffrement pour la racine DBFS et activer la prise en charge du pare-feu pour votre compte de stockage de l’espace de travail.

Important

Seuls les tableaux de bord IA/BI créés après le 1er novembre 2024 sont chiffrés et compatibles avec les clés gérées par le client.

Calcul serverless et clés gérées par le client

Databricks SQL serverless prend en charge :

Mise en service de modèles

Les ressources pour Model Serving, une fonctionnalité de calcul serverless, se répartissent généralement en deux catégories :

  • Les ressources que vous créez pour le modèle sont stockées dans la racine DBFS de votre espace de travail dans le stockage de votre espace de travail dans ADLSgen2 (pour les espaces de travail plus anciens, le stockage Blob). Cela inclut les artefacts du modèle et les métadonnées de version. Le registre des modèles d'espace de travail et MLflow utilisent tous deux ce stockage. Vous pouvez configurer ce stockage pour utiliser des clés gérées par le client.
  • Les ressources qu'Azure Databricks crée directement en votre nom incluent l'image du modèle et le stockage de calcul serverless éphémère. Celles-ci sont chiffrées avec des clés gérées par Databricks et ne prennent pas en charge les clés gérées par le client.

Les clés gérées par le client pour le stockage sur disque managé ne s’appliquent pas aux ressources de calcul serverless. Les disques pour les ressources de calcul serverless sont de courte durée et liés au cycle de vie de la charge de travail serverless. Lorsque les ressources de calcul sont arrêtées ou mises à l’échelle, les machines virtuelles et leur stockage sont détruits.