Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Catatan
Fitur ini membutuhkan rencana Premium.
Halaman ini menyediakan gambaran umum kunci yang dikelola pelanggan untuk enkripsi. Beberapa layanan dan dukungan data menambahkan kunci yang dikelola pelanggan untuk membantu melindungi dan mengontrol akses ke data terenkripsi. Anda dapat menggunakan layanan manajemen kunci di cloud Anda untuk mempertahankan kunci enkripsi yang dikelola pelanggan.
Azure Databricks mendukung kunci yang dikelola oleh pelanggan dari Azure Key Vault dan Azure Key Vault Managed HSM (Modul Keamanan Perangkat Keras).
Kasus penggunaan kunci yang dikelola pelanggan
Azure Databricks memiliki tiga fitur utama yang dikelola pelanggan untuk berbagai jenis data:
- Kunci yang dikelola kustom untuk disk terkelola Azure
- Kunci yang dikelola pelanggan untuk layanan terkelola
- Kunci yang dikelola pelanggan untuk root DBFS
Tabel berikut mencantumkan fitur utama yang dikelola pelanggan yang digunakan untuk jenis data apa.
| Tipe data | Lokasi | Fitur utama yang dikelola pelanggan |
|---|---|---|
| Dasbor AI/BI | Pesawat kontrol | Layanan terkelola |
| Ruang Genie | Pesawat kontrol | Layanan terkelola |
| Sumber dan metadata notebook | Pesawat kontrol | Layanan terkelola |
| Token akses pribadi (PAT) atau kredensial lain yang digunakan untuk integrasi Git dengan folder Databricks Git | Pesawat kontrol | Layanan terkelola |
| Rahasia yang disimpan oleh API pengelola rahasia | Pesawat kontrol | Layanan terkelola |
| Kueri Databricks SQL dan riwayat kueri | Pesawat kontrol | Layanan terkelola |
| Pencarian Vektor indeks dan metadata | Bidang komputasi tanpa server | Layanan terkelola |
| Data proyek Lakebase Autoscaling | Pesawat kontrol | Layanan terkelola |
| Data akar DBFS yang dapat diakses pelanggan | ruang kerja Anda DBFS root di akun penyimpanan ruang kerja Anda di langganan Azure Anda. Ini juga termasuk area FileStore. | root DBFS |
| Hasil Pekerjaan | Akun penyimpanan ruang kerja di langganan Azure Anda | root DBFS |
| Hasil Databricks SQL | Akun penyimpanan ruang kerja di langganan Azure Anda | root DBFS |
| Model MLflow | Akun penyimpanan ruang kerja di langganan Azure Anda | root DBFS |
| Alur Deklaratif Lakeflow Spark | Jika Anda menggunakan jalur DBFS di akar DBFS Anda, ini disimpan di akun penyimpanan ruang kerja Anda di langganan Azure Anda. Ini tidak berlaku untuk jalur DBFS yang mewakili titik pemasangan ke sumber data lain. | root DBFS |
| Hasil notebook interaktif | Secara default, saat Anda menjalankan notebook secara interaktif (bukan sebagai pekerjaan) hasil disimpan di sarana kontrol untuk performa dengan beberapa hasil besar yang disimpan di akun penyimpanan ruang kerja Anda di langganan Azure Anda. Anda dapat memilih untuk mengonfigurasi Azure Databricks untuk menyimpan semua hasil notebook interaktif di akun penyimpanan ruang kerja Anda. Lihat Mengonfigurasi lokasi penyimpanan untuk hasil notebook interaktif. | Untuk hasil sebagian di sarana kontrol, gunakan kunci yang dikelola pelanggan untuk layanan terkelola. Untuk hasil di akun penyimpanan ruang kerja, yang dapat Anda konfigurasi untuk semua penyimpanan hasil, gunakan kunci yang dikelola pelanggan untuk DBFS root. |
| Data sistem ruang kerja lainnya di akun penyimpanan ruang kerja yang tidak dapat diakses melalui DBFS, seperti revisi buku catatan. | Akun penyimpanan ruang kerja di langganan Azure Anda | root DBFS |
| Disk terkelola | Penyimpanan disk sementara VM dalam sumber daya komputasi seperti kluster. Hanya berlaku untuk sumber daya komputasi di bidang komputasi klasik di langganan Azure Anda. Lihat Komputasi tanpa server dan kunci yang dikelola pelanggan. | Disk terkelola |
| Model Menyajikan gambar kontainer dan artefak model | Pesawat kontrol | Layanan terkelola |
Untuk keamanan tambahan untuk instans akun penyimpanan ruang kerja Anda di langganan Azure, Anda dapat mengaktifkan enkripsi ganda dan dukungan firewall. Lihat Mengonfigurasi enkripsi ganda untuk root DBFS dan Mengaktifkan dukungan firewall untuk akun penyimpanan ruang kerja Anda.
Penting
Hanya dasbor AI/BI yang dibuat setelah 1 November 2024, yang dienkripsi dan kompatibel dengan kunci yang dikelola pelanggan.
Hanya Genie Spaces yang dibuat setelah 10 April 2025 yang dienkripsi dan kompatibel dengan kunci yang dikelola pelanggan.
Komputasi tanpa server dan kunci yang dikelola pelanggan
Databricks SQL Serverless mendukung:
Kunci yang dikelola oleh pelanggan untuk layanan terkelola untuk kueri Databricks SQL dan riwayat kueri.
Kunci yang dikelola pelanggan untuk penyimpanan root DBFS dalam hasil Databricks SQL.
Kunci yang dikelola pelanggan untuk penyimpanan disk terkelola tidak berlaku untuk sumber daya komputasi serverless. Disk untuk sumber daya komputasi tanpa server berumur pendek dan terkait dengan siklus hidup beban kerja tanpa server. Ketika sumber daya komputasi dihentikan atau diturunkan skalanya, VM dan penyimpanannya dihancurkan.
Model Serving
Sumber daya untuk Model Serving, fitur komputasi tanpa server, umumnya dalam dua kategori:
- Sumber daya yang Anda buat: Artefak model dan metadata versi disimpan di penyimpanan akar ruang kerja Anda. Model Serving dan MLflow menggunakan penyimpanan ini. Anda dapat mengonfigurasi enkripsi kunci yang dikelola pelanggan untuk data ini.
- Sumber Daya yang Dibuat oleh Azure Databricks: Gambar kontainer dan artefak model disimpan dalam registri yang dikelola oleh Databricks. Kunci yang dikelola pelanggan untuk layanan terkelola mengenkripsi data ini.