Felhasználó által kezelt kulcsok titkosításhoz
Ez a cikk áttekintést nyújt az ügyfél által felügyelt titkosítási kulcsokról.
Feljegyzés
Ehhez a funkcióhoz prémium csomag szükséges.
Ügyfél által felügyelt kulcsok a titkosítás áttekintéséhez
Egyes szolgáltatások és adatok támogatják az ügyfél által felügyelt kulcs hozzáadását a titkosított adatokhoz való hozzáférés védelme és szabályozása érdekében. A felhő kulcskezelési szolgáltatásával ügyfél által felügyelt titkosítási kulcsot tarthat fenn.
Az Azure Databricks támogatja az Azure Key Vault-tárolókból és az Azure Key Vault felügyelt HSM-ből (hardveres biztonsági modulok) származó ügyfél által felügyelt kulcsokat.
Az Azure Databricks három ügyfél által kezelt kulcsfontosságú funkcióval rendelkezik a különböző adattípusokhoz:
- Ügyfél által kezelt kulcsok Azure kezelt lemezekhez
- Ügyfél által kezelt kulcsok a menedzselt szolgáltatásokhoz
- Ügyfél által kezelt kulcsok a DBFS root számára
Az alábbi táblázat felsorolja, hogy mely ügyfél által felügyelt kulcsfunkciókat használja a rendszer az adattípusokhoz.
| Adatok típusa | Hely | Ügyfél által felügyelt kulcs funkció |
|---|---|---|
| AI/BI-irányítópultok | Vezérlősík | Felügyelt szolgáltatások |
| Jegyzetfüzet forrása és metaadatai | Vezérlősík | Felügyelt szolgáltatások |
| Személyes hozzáférési jogkivonatok (PAT) vagy a Databricks Git-mappákkal való Git-integrációhoz használt egyéb hitelesítő adatok | Vezérlősík | Felügyelt szolgáltatások |
| A titkos kulcskezelő API-k által tárolt titkos kódok | Vezérlősík | Felügyelt szolgáltatások |
| Databricks SQL-lekérdezések és lekérdezési előzmények | Vezérlősík | Felügyelt szolgáltatások |
| Vektorkeresési indexek és metaadatok | Kiszolgáló nélküli számítási sík | Felügyelt szolgáltatások |
| Ügyfél által elérhető DBFS-gyökéradatok | A munkaterület DBFS-gyökere az Azure-előfizetés munkaterületi tárfiókjában található . Ide tartozik a FileStore terület is. | a DBFS gyökere |
| Feladat eredményei | Munkaterület tárfiókja az Azure-előfizetésben | a DBFS gyökere |
| Databricks SQL-eredmények | Munkaterület tárfiókja az Azure-előfizetésben | a DBFS gyökere |
| MLflow-modellek | Munkaterület tárfiókja az Azure-előfizetésben | a DBFS gyökere |
| Delta Live Table | Ha DBFS-elérési utat használ a DBFS-gyökérben, a rendszer ezt az Azure-előfizetés munkaterületi tárfiókjában tárolja. Ez nem vonatkozik azokra a DBFS-útvonalakra, amelyek más adatforrásokhoz tartozó csatlakoztatási pontokat jelölnek. | a DBFS gyökere |
| Interaktív jegyzetfüzet eredményei | Alapértelmezés szerint, ha interaktívan futtat egy jegyzetfüzetet (nem feladatként), a rendszer a vezérlősíkon tárolja az eredményeket a teljesítmény érdekében, és az Azure-előfizetés munkaterületi tárfiókjában tárolt nagy eredményeket is. Beállíthatja, hogy az Azure Databricks az összes interaktív jegyzetfüzet-találatot a munkaterület tárfiókjában tárolja. Lásd: A tárolóhely konfigurálása interaktív jegyzetfüzet-eredményekhez. | A vezérlősík részleges eredményeihez használjon ügyfél által felügyelt kulcsot a felügyelt szolgáltatásokhoz. A munkaterület tárfiókjában található eredményekhez, amelyeket az összes eredménytárolóhoz konfigurálhat, használjon egy ügyfél által felügyelt kulcsot a DBFS-gyökérhez. |
| A munkaterület tárfiókjában található egyéb munkaterületi rendszeradatok, amelyek a DBFS-n keresztül elérhetetlenek, például jegyzetfüzet-változatok. | Munkaterület tárfiókja az Azure-előfizetésben | a DBFS gyökere |
| Felügyelt lemezek | Virtuális gépek ideiglenes lemeztárolása számítási erőforrásokban, például fürtökben. Csak az Azure-előfizetés klasszikus számítási síkjának számítási erőforrásaira vonatkozik. Lásd: Kiszolgáló nélküli számítási és ügyfél által felügyelt kulcsok. | Felügyelt lemezek |
Az Azure-előfizetésben lévő munkaterületi tárfiókpéldány további biztonsága érdekében engedélyezheti a kettős titkosítást és a tűzfaltámogatást. Lásd: Dupla titkosítás konfigurálása a DBFS-gyökérhez és a tűzfal támogatásának engedélyezése a munkaterület tárfiókjához.
Fontos
Csak a 2024. november 1. után létrehozott AI/BI-irányítópultok vannak titkosítva és kompatibilisek az ügyfél által felügyelt kulcsokkal.
Kiszolgáló nélküli számítási és ügyfél által felügyelt kulcsok
A Databricks SQL Serverless a következőket támogatja:
Ügyfél által felügyelt kulcsok felügyelt szolgáltatásokhoz a Databricks SQL-lekérdezésekhez és a lekérdezési előzményekhez.
A Databricks SQL-eredmények dbFS-gyökértárolójának ügyfél által felügyelt kulcsai.
A felügyelt lemeztároló ügyfél által felügyelt kulcsai nem vonatkoznak a kiszolgáló nélküli számítási erőforrásokra. A kiszolgáló nélküli számítási erőforrások lemezei rövid élettartamúak, és a kiszolgáló nélküli számítási feladatok életciklusához vannak kötve. A számítási erőforrások leállítása vagy leskálázása esetén a virtuális gépek és tárolóik megsemmisülnek.
Modellkiszolgáló
A kiszolgáló nélküli számítási funkció, a Model Service erőforrásai általában két kategóriába sorolhatók:
- A modellhez létrehozott erőforrások a munkaterület DBFS-gyökerében vannak tárolva az ADLSgen2 munkaterület-tárolójában (régebbi munkaterületek esetén Blob Storage). Ez magában foglalja a modell összetevőit és a verzió metaadatait. Ezt a tárolót a munkaterületi modell beállításjegyzéke és az MLflow is használja. Ezt a tárolót konfigurálhatja úgy, hogy ügyfél által felügyelt kulcsokat használjon.
- Az Azure Databricks által közvetlenül az Ön nevében létrehozott erőforrások közé tartozik a modell képe és a rövid élettartamú kiszolgáló nélküli számítási tár. Ezek a Databricks által felügyelt kulcsokkal vannak titkosítva, és nem támogatják az ügyfél által felügyelt kulcsokat.
A felügyelt lemeztároló ügyfél által felügyelt kulcsai nem vonatkoznak a kiszolgáló nélküli számítási erőforrásokra. A kiszolgáló nélküli számítási erőforrások lemezei rövid élettartamúak, és a kiszolgáló nélküli számítási feladatok életciklusához vannak kötve. A számítási erőforrások leállítása vagy leskálázása esetén a virtuális gépek és tárolóik megsemmisülnek.