Clés gérées par le client pour le chiffrement
Cet article fournit une vue d’ensemble des clés gérées par le client pour le chiffrement.
Remarque
cette fonctionnalité nécessite le plan Premium.
Clés gérées par le client pour le chiffrement
Certains services et données permettent d’ajouter une clé gérée par le client pour protéger et contrôler l’accès aux données chiffrées. Vous pouvez utiliser le service de gestion des clés dans votre cloud pour maintenir une clé de chiffrement gérée par le client.
Azure Databricks prend en charge les clés managées par le client depuis les coffres Azure Key Vault et les HSM (Hardware Security Modules/Modules de sécurité matérielle) managés par Azure Key Vault.
Azure Databricks dispose de trois fonctionnalités de clés gérées par le client pour différents types de données :
- Clés managées par le client pour les disques managés Azure
- Clés managées par le client pour les services managés
- Clés managées par le client pour la racine DBFS
Le tableau suivant répertorie les fonctionnalités de clés gérées par le client utilisées pour chaque type de données.
| Type de données | Emplacement | Fonctionnalité de clé gérée par le client |
|---|---|---|
| Source et métadonnées du notebook | Plan de contrôle | Services managés |
| Jetons d’accès personnels (PAT) ou autres informations d’identification utilisés pour l’intégration de Git avec des dossiers Git Databricks | Plan de contrôle | Services managés |
| Secrets stockés par les API du gestionnaire de secrets | Plan de contrôle | Services managés |
| Requêtes SQL de Databricks et historique des requêtes | Plan de contrôle | Services managés |
| Données racine DBFS accessibles au client | Racine DBFS de votre espace de travail dans le stockage racine DBFS de votre espace de travail dans votre abonnement Azure. Cela inclut également la zone FileStore. | Racine DBFS |
| Résultats de la tâche | Instance de stockage DBFS racine de l’espace de travail dans votre abonnement Azure | Racine DBFS |
| Résultats de Databricks SQL | Instance de stockage DBFS racine de l’espace de travail dans votre abonnement Azure | Racine DBFS |
| Modèles MLflow | Instance de stockage DBFS racine de l’espace de travail dans votre abonnement Azure | Racine DBFS |
| Delta Live Table | Si vous utilisez un chemin DBFS à la racine DBFS, celui-ci est stocké dans l’instance de stockage DBFS racine de votre espace de travail dans votre abonnement Azure. Cela ne s’applique pas aux chemins DBFS qui représentent des points de montage vers d’autres sources de données. | Racine DBFS |
| Résultats d’un notebook interactif | Par défaut, quand vous exécutez un notebook de manière interactive (plutôt qu’avec un travail), les résultats sont stockés dans le plan de contrôle à des fins de performances, certains résultats volumineux étant stockés dans le stockage DBFS racine de votre espace de travail dans votre abonnement Azure. Vous pouvez choisir de configurer Azure Databricks pour stocker tous les résultats de notebook interactif dans votre abonnement Azure. | Pour obtenir des résultats partiels dans le plan de contrôle, utilisez une clé gérée par le client pour les services managés. Pour obtenir des résultats dans le stockage DBFS racine, que vous pouvez configurer pour tous les stockages de résultats, utilisez une clé gérée par le client pour la racine DBFS. |
| Autres données système d’espace de travail dans le stockage DBFS racine inaccessibles par le biais de DBFS, comme les révisions de notebook. | Stockage DBFS racine de l’espace de travail dans votre abonnement Azure | Racine DBFS |
| Disques managés | Stockage sur disque temporaire des machines virtuelles dans des ressources de calcul, comme des clusters. S’applique uniquement aux ressources de calcul dans le plan de calcul classique de votre abonnement Azure. Consultez Calcul serverless et clés gérées par le client. | Disques managés |
Pour renforcer la sécurité de l’instance de stockage DBFS racine de votre espace de travail dans votre abonnement Azure, vous pouvez activer le double chiffrement de la racine DBFS.
Calcul serverless et clés gérées par le client
Databricks SQL serverless prend en charge :
Clés gérées par le client pour les services gérés pour les requêtes Databricks SQL et l'historique des requêtes.
Clés gérées par le client pour le stockage DBFS racine pour les résultats Databricks SQL.
Les clés gérées par le client pour le stockage sur disque managé ne s’appliquent pas aux ressources de calcul serverless. Les disques pour les ressources de calcul serverless sont de courte durée et liés au cycle de vie de la charge de travail serverless. Lorsque les ressources de calcul sont arrêtées ou mises à l’échelle, les machines virtuelles et leur stockage sont détruits.
Mise en service de modèles
Les ressources pour Model Serving, une fonctionnalité de calcul serverless, se répartissent généralement en deux catégories :
- Les ressources que vous créez pour le modèle sont stockées dans la racine DBFS de votre espace de travail dans le stockage de votre espace de travail dans ADLSgen2 (pour les espaces de travail plus anciens, le stockage Blob). Cela inclut les artefacts du modèle et les métadonnées de version. Le registre des modèles d'espace de travail et MLflow utilisent tous deux ce stockage. Vous pouvez configurer ce stockage pour utiliser des clés gérées par le client.
- Les ressources qu'Azure Databricks crée directement en votre nom incluent l'image du modèle et le stockage de calcul serverless éphémère. Celles-ci sont chiffrées avec des clés gérées par Databricks et ne prennent pas en charge les clés gérées par le client.
Les clés gérées par le client pour le stockage sur disque managé ne s’appliquent pas aux ressources de calcul serverless. Les disques pour les ressources de calcul serverless sont de courte durée et liés au cycle de vie de la charge de travail serverless. Lorsque les ressources de calcul sont arrêtées ou mises à l’échelle, les machines virtuelles et leur stockage sont détruits.