Ügyfél által kezelt kulcsok a DBFS root számára

Feljegyzés

Ez a funkció csak a Prémium csomagban érhető el.

Az adatok további szabályozásához hozzáadhatja saját kulcsát bizonyos típusú adatokhoz való hozzáférés védelméhez és szabályozásához. Az Azure Databricks két ügyfél által felügyelt kulcsfontosságú funkcióval rendelkezik, amelyek különböző típusú adatokat és helyeket foglalnak magukban. Összehasonlításért tekintse meg az ügyfél által felügyelt titkosítási kulcsokat.

Alapértelmezés szerint a tárfiók Microsoft által felügyelt kulcsokkal van titkosítva. Miután hozzáad egy ügyfél által kezelt kulcsot a DBFS gyökérhez, az Azure Databricks az Ön kulcsát használja a munkaterület gyökér Blob-tárolójában lévő összes adat titkosítására.

• A gyökér blobtároló tartalmazza a munkaterület DBFS-gyökerét, amely a DBFS alapértelmezett tárolási helye. A Databricks fájlrendszer (DBFS) egy Azure Databricks-munkaterülethez csatlakoztatott elosztott fájlrendszer, amely Azure Databricks-fürtökön érhető el. A DBFS Blob Storage-példányként van implementálva az Azure Databricks-munkaterület felügyelt erőforráscsoportjában. A DBFS-gyökértároló MLflow-modelleket és Delta Live Table-adatokat tartalmaz a DBFS-gyökérben (a DBFS-csatlakoztatásokhoz azonban nem).
• A legfelső szintű Blob Storage tartalmazza a munkaterület rendszeradatait is (amelyek nem érhetők el közvetlenül az Ön számára DBFS-útvonalak használatával), beleértve a feladateredményeket, a Databricks SQL-eredményeket, a jegyzetfüzet-változatokat és néhány más munkaterület-adatot.

Fontos

Ez a funkció hatással van a DBFS-gyökérre , de nem használható adatok titkosítására további DBFS-csatlakoztatásokon , például a további Blob- vagy ADLS-tárolók DBFS-csatlakoztatásán.

A felhasználó által kezelt kulcsok tárolásához az Azure Key Vaultot kell használnia. A kulcsokat az Azure Key Vault-tárolókban vagy az Azure Key Vault felügyelt hardveres biztonsági moduljaiban (HSM-ekben) tárolhatja. Az Azure Key Vault-tárolókról és a HSM-ekről további információt a Key Vault kulcsairól szóló cikkben talál. Az Azure Key Vault-tárolók és az Azure Key Vault HSM-ek használatára különböző utasítások léteznek.

A Key Vaultnak ugyanabban az Azure-bérlőben kell lennie, mint az Azure Databricks-munkaterület.

Az ügyfél által felügyelt kulcsokat az Azure Key Vault-tárolók használatával három különböző módon engedélyezheti a DBFS-tárolóhoz:

• Felhasználó által kezelt kulcsok konfigurálása DBFS-hez az Azure Portalon
• Felhasználó által kezelt kulcsok konfigurálása DBFS-hez az Azure CLI használatával
• Felhasználó által kezelt kulcsok konfigurálása DBFS-hez a PowerShell használatával

Az ügyfél által felügyelt kulcsokat az Azure Key Vault HSM-ekkel is engedélyezheti a DBFS-tárolóhoz három különböző módon:

• HSM ügyfél által felügyelt kulcsok konfigurálása a DBFS-hez az Azure Portal használatával
• HSM ügyfél által felügyelt kulcsok konfigurálása a DBFS-hez az Azure CLI használatával
• HSM ügyfél által felügyelt kulcsok konfigurálása a DBFS-hez a PowerShell használatával