Clés managées par le client pour les services managés
Remarque
cette fonctionnalité nécessite le plan Premium.
Pour contrôler davantage vos données, vous pouvez ajouter votre propre clé afin de les protéger et contrôler l’accès à certains types de données. Azure Databricks dispose de trois fonctionnalités de clés gérées par le client pour différents types de données et d’emplacements. Pour les comparer, consultez Clés gérées par le client pour le chiffrement.
Les données des services managés dans le plan de contrôle Azure Databricks sont chiffrées au repos. Vous pouvez ajouter une clé gérée par le client pour les services managés pour protéger et contrôler l’accès aux types suivants de données chiffrées :
- Source de notebook dans le plan de contrôle Azure Databricks
- Résultats des notebooks exécutés de manière interactive (pas en tant que travaux) et stockés dans le plan de contrôle. Par défaut, les résultats plus volumineux sont également stockés dans le compartiment racine de votre espace de travail. Vous pouvez configurer Azure Databricks pour stocker tous les résultats de notebooks interactifs dans votre compte cloud.
- Secrets stockés par les API du gestionnaire de secrets.
- Requêtes SQL de Databricks et historique des requêtes.
- Jetons d’accès personnels (PAT) ou autres informations d’identification utilisées pour configurer l’intégration Git avec les dossiers Git de Databrick.
Après avoir ajouté une clé gérée par le client pour le chiffrement des services managés d’un espace de travail, Azure Databricks utilise votre clé pour contrôler l’accès à la clé qui va chiffrer les prochaines opérations d’écriture dans les données des services managés de votre espace de travail. Les données existantes ne sont pas rechiffrées. La clé de chiffrement des données est mise en cache dans la mémoire pour plusieurs opérations de lecture et d’écriture et régulièrement supprimée de la mémoire. Les nouvelles demandes de ces données nécessitent une autre demande au système de gestion des clés de votre service cloud. Si vous supprimez ou révoquez votre clé, la lecture ou l’écriture dans les données protégées échouent à l’issue de l’intervalle de temps du cache. Vous pouvez faire pivoter (mettre à jour) la clé gérée par le client ultérieurement.
Important
Si vous faites pivoter la clé, vous devez conserver l’ancienne clé disponible pendant 24 heures.
Cette fonctionnalité ne chiffre pas les données stockées en dehors du plan de contrôle. Pour chiffrer des données dans le stockage racine DBFS de votre espace de travail, consultez Clés gérées par le client pour la racine DBFS.
Vous pouvez activer des clés gérées par le client à l’aide de coffres Azure Key Vault ou de HSM Azure Key Vault :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour