Bagikan melalui

Kunci yang dikelola pelanggan untuk akar DBFS

  • Artikel

Catatan

Fitur ini hanya tersedia dalam paket Premium.

Untuk kontrol tambahan atas data, Anda dapat menambahkan kunci sendiri untuk melindungi dan mengontrol akses ke beberapa jenis data. Azure Databricks memiliki dua fitur utama yang dikelola pelanggan untuk jenis data yang berbeda. Untuk perbandingan, lihat Kunci yang dikelola pelanggan untuk enkripsi.

Secara default, akun penyimpanan dienkripsi dengan kunci yang dikelola Microsoft. Setelah Anda menambahkan kunci yang dikelola pelanggan untuk akar DBFS, Azure Databricks menggunakan kunci Anda untuk mengenkripsi semua data di penyimpanan Blob akar ruang kerja.

  • Akun penyimpanan ruang kerja berisi akar DBFS ruang kerja Anda, yang merupakan lokasi default di DBFS. Databricks File System (DBFS) adalah sistem file terdistribusi yang dipasang ke ruang kerja Azure Databricks dan tersedia di kluster Azure Databricks. DBFS diimplementasikan sebagai instans penyimpanan Blob di grup sumber daya terkelola ruang kerja Azure Databricks Anda. Akun penyimpanan ruang kerja mencakup Model MLflow dan data Tabel Langsung Delta di akar DBFS Anda (tetapi tidak untuk pemasangan DBFS).
  • Akun penyimpanan ruang kerja juga menyertakan data sistem ruang kerja Anda (tidak dapat diakses langsung oleh Anda menggunakan jalur DBFS), yang mencakup hasil pekerjaan, hasil Databricks SQL, revisi buku catatan, dan beberapa data ruang kerja lainnya.

Penting

Fitur ini memengaruhi akar DBFS Anda tetapi tidak digunakan untuk mengenkripsi data pada pemasangan DBFS tambahan seperti pemasangan DBFS dari penyimpanan Blob atau ADLS tambahan. Pemasangan adalah pola akses warisan. Databricks merekomendasikan penggunaan Unity Catalog untuk mengelola semua akses data. Lihat Koneksi ke penyimpanan objek cloud menggunakan Unity Catalog.

Anda harus menggunakan Azure Key Vault untuk menyimpan kunci yang dikelola-pelanggan Anda. Anda dapat menyimpan kunci di brankas Azure Key Vault atau atau Modul Keamanan Perangkat Keras Terkelola (HSM) Azure Key Vault. Untuk mempelajari selengkapnya tentang brankas Azure Key Vault dan HSM, lihat Tentang kunci Key Vault. Ada petunjuk berbeda untuk menggunakan vault Azure Key Vault dan HSM Azure Key Vault.

Key Vault harus berada di penyewa Azure yang sama dengan ruang kerja Azure Databricks Anda.

Anda dapat mengaktifkan kunci yang dikelola pelanggan menggunakan vault Azure Key Vault untuk akun penyimpanan ruang kerja Anda dengan tiga cara berbeda:

Anda juga dapat mengaktifkan kunci yang dikelola pelanggan menggunakan HSM Azure Key Vault untuk akun penyimpanan ruang kerja Anda dengan tiga cara berbeda: