Ügyfél által kezelt kulcsok a DBFS root számára

Feljegyzés

Ez a funkció csak a Prémium csomagban érhető el.

Az adatok további szabályozásához hozzáadhatja saját kulcsát bizonyos típusú adatokhoz való hozzáférés védelméhez és szabályozásához. Az Azure Databricks két ügyfél által felügyelt kulcsfontosságú funkcióval rendelkezik, amelyek különböző típusú adatokat és helyeket foglalnak magukban. Összehasonlításért tekintse meg az ügyfél által felügyelt titkosítási kulcsokat.

Alapértelmezés szerint a tárfiók Microsoft által felügyelt kulcsokkal van titkosítva. Miután hozzáad egy ügyfél által kezelt kulcsot a DBFS gyökérhez, az Azure Databricks az Ön kulcsát használja a munkaterület gyökér Blob-tárolójában lévő összes adat titkosítására.

• A munkaterület tárfiókja tartalmazza a munkaterület DBFS-gyökerét, amely a DBFS alapértelmezett helye. A Databricks fájlrendszer (DBFS) egy Azure Databricks-munkaterülethez csatlakoztatott elosztott fájlrendszer, amely Azure Databricks-fürtökön érhető el. A DBFS Blob Storage-példányként van implementálva az Azure Databricks-munkaterület felügyelt erőforráscsoportjában. A munkaterület tárfiókja MLflow-modelleket és Delta Live Table-adatokat tartalmaz a DBFS-gyökérben (a DBFS-csatlakoztatásokhoz azonban nem).
• A munkaterület tárfiókja tartalmazza a munkaterület rendszeradatait is (amelyek nem érhetők el közvetlenül az Ön számára DBFS-elérési utak használatával), amelyek közé tartoznak a feladatok eredményei, a Databricks SQL-eredményei, a jegyzetfüzet-változatok és néhány más munkaterületi adat.

Fontos

Ez a funkció hatással van a DBFS-gyökérre , de nem használható adatok titkosítására további DBFS-csatlakoztatásokon , például a további Blob- vagy ADLS-tárolók DBFS-csatlakoztatásán. A csatlakoztatások régi hozzáférési minták. A Databricks a Unity Catalog használatát javasolja az összes adathozzáférés kezeléséhez. Lásd: Csatlakozás a felhőbeli objektumtárhoz és -szolgáltatásokhoz a Unity Catalog használatával.

A felhasználó által kezelt kulcsok tárolásához az Azure Key Vaultot kell használnia. A kulcsokat az Azure Key Vault-tárolókban vagy az Azure Key Vault felügyelt hardveres biztonsági moduljaiban (HSM-ekben) tárolhatja. Az Azure Key Vault-tárolókról és a HSM-ekről további információt a Key Vault kulcsairól szóló cikkben talál. Az Azure Key Vault-tárolók és az Azure Key Vault HSM-ek használatára különböző utasítások léteznek.

A Key Vaultnak ugyanabban az Azure-bérlőben kell lennie, mint az Azure Databricks-munkaterület.

Az ügyfél által felügyelt kulcsokat a munkaterület tárfiókjához tartozó Azure Key Vault-tárolók használatával három különböző módon engedélyezheti:

• Felhasználó által kezelt kulcsok konfigurálása DBFS-hez az Azure Portalon
• Felhasználó által kezelt kulcsok konfigurálása DBFS-hez az Azure CLI használatával
• Felhasználó által kezelt kulcsok konfigurálása DBFS-hez a PowerShell használatával

Az ügyfél által felügyelt kulcsokat az Azure Key Vault HSM-ekkel is engedélyezheti a munkaterület tárfiókjához három különböző módon:

• HSM ügyfél által felügyelt kulcsok konfigurálása a DBFS-hez az Azure Portal használatával
• HSM ügyfél által felügyelt kulcsok konfigurálása a DBFS-hez az Azure CLI használatával
• HSM ügyfél által felügyelt kulcsok konfigurálása a DBFS-hez a PowerShell használatával