Kunci yang dikelola pelanggan untuk enkripsi
Artikel ini memberikan gambaran umum tentang kunci yang dikelola pelanggan untuk enkripsi.
Catatan
Fitur ini membutuhkan rencana Premium.
Kunci yang dikelola pelanggan untuk gambaran umum enkripsi
Beberapa layanan dan dukungan data menambahkan kunci yang dikelola pelanggan untuk membantu melindungi dan mengontrol akses ke data terenkripsi. Anda dapat menggunakan layanan manajemen kunci di cloud Anda untuk mempertahankan kunci enkripsi yang dikelola pelanggan.
Azure Databricks mendukung kunci yang dikelola pelanggan dari brankas Azure Key Vault dan Azure Key Vault Managed HSM (Modul Keamanan Perangkat Keras).
Azure Databricks memiliki tiga fitur utama yang dikelola pelanggan untuk jenis data yang berbeda:
- Kunci yang dikelola pelanggan untuk cakram yang dikelola Azure
- Kunci yang dikelola pelanggan untuk layanan terkelola
- Kunci yang dikelola pelanggan untuk akar DBFS
Tabel berikut mencantumkan fitur utama yang dikelola pelanggan yang digunakan untuk jenis data apa.
| Tipe data | Lokasi | Fitur utama yang dikelola pelanggan |
|---|---|---|
| Sumber dan metadata notebook | Sarana kontrol | Layanan terkelola |
| Token akses pribadi (PAT) atau kredensial lain yang digunakan untuk integrasi Git dengan folder Databricks Git | Sarana kontrol | Layanan terkelola |
| Rahasia yang disimpan oleh API pengelola rahasia | Sarana kontrol | Layanan terkelola |
| Kueri Databricks SQL dan riwayat kueri | Sarana kontrol | Layanan terkelola |
| Indeks dan metadata Pencarian Vektor | Bidang komputasi tanpa server | Layanan terkelola |
| Data akar DBFS yang dapat diakses pelanggan | Akar DBFS ruang kerja Anda di akun penyimpanan ruang kerja Anda di langganan Azure Anda. Ini juga termasuk area FileStore. | akar DBFS |
| Pekerjaan hasil | Akun penyimpanan ruang kerja di langganan Azure Anda | akar DBFS |
| Hasil Databricks SQL | Akun penyimpanan ruang kerja di langganan Azure Anda | akar DBFS |
| Model MLflow | Akun penyimpanan ruang kerja di langganan Azure Anda | akar DBFS |
| Tabel Langsung Delta | Jika Anda menggunakan jalur DBFS di akar DBFS Anda, ini disimpan di akun penyimpanan ruang kerja Anda di langganan Azure Anda. Ini tidak berlaku untuk jalur DBFS yang mewakili titik pemasangan ke sumber data lain. | akar DBFS |
| Hasil notebook interaktif | Secara default, saat Anda menjalankan notebook secara interaktif (bukan sebagai pekerjaan) hasil disimpan di sarana kontrol untuk performa dengan beberapa hasil besar yang disimpan di akun penyimpanan ruang kerja Anda di langganan Azure Anda. Anda dapat memilih untuk mengonfigurasi Azure Databricks untuk menyimpan semua hasil notebook interaktif di akun penyimpanan ruang kerja Anda. Lihat Mengonfigurasi lokasi penyimpanan untuk hasil notebook interaktif. | Untuk hasil sebagian di sarana kontrol, gunakan kunci yang dikelola pelanggan untuk layanan terkelola. Untuk hasil di akun penyimpanan ruang kerja, yang dapat Anda konfigurasi untuk semua penyimpanan hasil, gunakan kunci yang dikelola pelanggan untuk akar DBFS. |
| Data sistem ruang kerja lainnya di akun penyimpanan ruang kerja yang tidak dapat diakses melalui DBFS, seperti revisi buku catatan. | Akun penyimpanan ruang kerja di langganan Azure Anda | akar DBFS |
| Disk terkelola | Penyimpanan disk sementara VM dalam sumber daya komputasi seperti kluster. Hanya berlaku untuk sumber daya komputasi di bidang komputasi klasik di langganan Azure Anda. Lihat Komputasi tanpa server dan kunci yang dikelola pelanggan. | Disk terkelola |
Untuk keamanan tambahan untuk instans akun penyimpanan ruang kerja Anda di langganan Azure, Anda dapat mengaktifkan enkripsi ganda dan dukungan firewall. Lihat Mengonfigurasi enkripsi ganda untuk root DBFS dan Mengaktifkan dukungan firewall untuk akun penyimpanan ruang kerja Anda.
Komputasi tanpa server dan kunci yang dikelola pelanggan
Databricks SQL Serverless mendukung:
Kunci yang dikelola pelanggan untuk layanan terkelola untuk kueri Databricks SQL dan riwayat kueri.
Kunci yang dikelola pelanggan untuk penyimpanan akar DBFS untuk hasil Databricks SQL.
Kunci yang dikelola pelanggan untuk penyimpanan disk terkelola tidak berlaku untuk sumber daya komputasi tanpa server. Disk untuk sumber daya komputasi tanpa server berumur pendek dan terkait dengan siklus hidup beban kerja tanpa server. Ketika sumber daya komputasi dihentikan atau diturunkan skalanya, VM dan penyimpanannya dihancurkan.
Penyajian Model
Sumber daya untuk Model Serving, fitur komputasi tanpa server, umumnya dalam dua kategori:
- Sumber daya yang Anda buat untuk model disimpan di akar DBFS ruang kerja Anda di penyimpanan ruang kerja Anda di ADLSgen2 (untuk ruang kerja yang lebih lama, penyimpanan Blob). Ini termasuk artefak model dan metadata versi. Baik registri model ruang kerja maupun MLflow menggunakan penyimpanan ini. Anda dapat mengonfigurasi penyimpanan ini untuk menggunakan kunci yang dikelola pelanggan.
- Sumber daya yang dibuat Azure Databricks langsung atas nama Anda termasuk gambar model dan penyimpanan komputasi tanpa server ephemeral. Ini dienkripsi dengan kunci yang dikelola Databricks dan tidak mendukung kunci yang dikelola pelanggan.
Kunci yang dikelola pelanggan untuk penyimpanan disk terkelola tidakberlaku untuk sumber daya komputasi tanpa server. Disk untuk sumber daya komputasi tanpa server berumur pendek dan terkait dengan siklus hidup beban kerja tanpa server. Ketika sumber daya komputasi dihentikan atau diturunkan skalanya, VM dan penyimpanannya dihancurkan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk