Partage via


Clés managées par le client pour les services managés

Remarque

cette fonctionnalité nécessite le plan Premium.

Pour contrôler davantage vos données, vous pouvez ajouter votre propre clé afin de les protéger et contrôler l’accès à certains types de données. Azure Databricks dispose de trois fonctionnalités de clés gérées par le client pour différents types de données et d’emplacements. Pour les comparer, consultez Clés gérées par le client pour le chiffrement.

Les données des services managés dans le plan de contrôle Azure Databricks sont chiffrées au repos. Vous pouvez ajouter une clé gérée par le client pour les services managés pour protéger et contrôler l’accès aux types suivants de données chiffrées :

Après avoir ajouté une clé gérée par le client pour le chiffrement des services managés d’un espace de travail, Azure Databricks utilise votre clé pour contrôler l’accès à la clé qui va chiffrer les prochaines opérations d’écriture dans les données des services managés de votre espace de travail. Les données existantes ne sont pas rechiffrées. La clé de chiffrement des données est mise en cache dans la mémoire pour plusieurs opérations de lecture et d’écriture et régulièrement supprimée de la mémoire. Les nouvelles demandes de ces données nécessitent une autre demande au système de gestion des clés de votre service cloud. Si vous supprimez ou révoquez votre clé, la lecture ou l’écriture dans les données protégées échouent à l’issue de l’intervalle de temps du cache. Vous pouvez faire pivoter (mettre à jour) la clé gérée par le client ultérieurement.

Important

Si vous faites pivoter la clé, vous devez conserver l’ancienne clé disponible pendant 24 heures.

Cette fonctionnalité ne chiffre pas les données stockées en dehors du plan de contrôle. Pour chiffrer des données dans le compte de stockage de votre espace de travail, consultez Clés gérées par le client pour la racine DBFS.

Vous pouvez activer des clés gérées par le client à l’aide de coffres Azure Key Vault ou de HSM Azure Key Vault :