Kunci yang dikelola pelanggan untuk layanan terkelola

Catatan

Fitur ini membutuhkan rencana Premium.

Untuk kontrol tambahan atas data, Anda dapat menambahkan kunci sendiri untuk melindungi dan mengontrol akses ke beberapa jenis data. Azure Databricks memiliki tiga fitur utama yang dikelola pelanggan untuk berbagai jenis data dan lokasi. Untuk membandingkannya, lihat Kunci yang dikelola pelanggan untuk enkripsi.

Data layanan terkelola di sarana kontrol Azure Databricks dienkripsi saat tidak aktif. Anda dapat menambahkan kunci yang dikelola pelanggan untuk layanan terkelola untuk membantu melindungi dan mengontrol akses ke jenis data terenkripsi berikut:

• Sumber notebook di sarana kontrol Azure Databricks
• Hasil notebook untuk notebook berjalan secara interaktif (bukan sebagai pekerjaan) yang disimpan di sarana kontrol. Secara default, hasil yang lebih besar juga disimpan di wadah akar ruang kerja Anda. Anda dapat mengonfigurasi Azure Databricks untuk menyimpan semua hasil notebook interaktif di langganan Azure Anda.
• Rahasia yang disimpan oleh API pengelola rahasia.
• Kueri dan riwayat kueri Databricks SQL.
• Token akses pribadi (PAT) atau kredensial lain yang digunakan untuk menyiapkan integrasi Git dengan folder Databricks Git.

Setelah Anda menambahkan kunci yang dikelola pelanggan untuk enkripsi layanan terkelola untuk ruang kerja, Azure Databricks menggunakan kunci Anda untuk mengontrol akses ke kunci yang mengenkripsi operasi tulis di masa mendatang ke data layanan terkelola ruang kerja Anda. Data yang ada tidak dienkripsi ulang. Kunci enkripsi data di-cache dalam memori untuk beberapa operasi baca dan tulis dan dikeluarkan dari memori secara berkala. Permintaan baru untuk data tersebut memerlukan permintaan lain ke sistem manajemen kunci layanan cloud Anda. Jika Anda menghapus atau mencabut kunci Anda, membaca atau menulis ke data yang dilindungi gagal di akhir interval waktu cache. Anda dapat memutar (memperbarui) kunci yang dikelola pelanggan di lain waktu.

Penting

Jika Anda memutar kunci, Anda harus menjaga kunci lama tetap tersedia selama 24 jam.

Fitur ini tidak mengenkripsi data yang disimpan di luar sarana kontrol. Untuk mengenkripsi data di akun penyimpanan ruang kerja Anda, lihat Kunci yang dikelola pelanggan untuk akar DBFS.

Anda dapat mengaktifkan kunci yang dikelola pelanggan menggunakan brankas Azure Key Vault atau HSM Azure Key Vault:

• Aktifkan kunci yang dikelola pelanggan untuk layanan terkelola
• Mengaktifkan kunci yang dikelola pelanggan HSM untuk layanan terkelola