Condividi tramite

Chiavi gestite dal cliente per i servizi gestiti

  • Articolo

Nota

Questa funzionalità richiede il piano Premium.

Per un controllo aggiuntivo dei dati, è possibile aggiungere la propria chiave per proteggere e controllare l'accesso ad alcuni tipi di dati. Azure Databricks offre tre funzionalità chiave gestite dal cliente per diversi tipi di dati e posizioni. Per confrontarli, vedere Chiavi gestite dal cliente per la crittografia.

I dati dei servizi gestiti nel piano di controllo di Azure Databricks vengono crittografati inattivi. È possibile aggiungere una chiave gestita dal cliente per i servizi gestiti per proteggere e controllare l'accesso ai tipi di dati crittografati seguenti:

  • Origine notebook nel piano di controllo di Azure Databricks
  • I risultati del notebook per i notebook vengono eseguiti in modo interattivo (non come processi) archiviati nel piano di controllo. Per impostazione predefinita, anche i risultati più grandi vengono archiviati nel bucket radice dell'area di lavoro. È possibile configurare Azure Databricks per archiviare tutti i risultati interattivi dei notebook nell'account cloud.
  • Segreti archiviati dalle API di gestione dei segreti.
  • Query e cronologia query SQL di Databricks.
  • Token di accesso personali (PAT) o altre credenziali usate per configurare l'integrazione git con le cartelle Git di Databricks.

Dopo aver aggiunto una chiave gestita dal cliente per la crittografia dei servizi gestiti per un'area di lavoro, Azure Databricks usa la chiave per controllare l'accesso alla chiave che crittografa le operazioni di scrittura future nei dati dei servizi gestiti dell'area di lavoro. I dati esistenti non vengono crittografati nuovamente. La chiave di crittografia dei dati viene memorizzata nella cache in memoria per diverse operazioni di lettura e scrittura e rimossa dalla memoria a intervalli regolari. Le nuove richieste per tali dati richiedono un'altra richiesta al sistema di gestione delle chiavi del servizio cloud. Se si elimina o revoca la chiave, la lettura o la scrittura nei dati protetti non riesce alla fine dell'intervallo di tempo della cache. È possibile ruotare (aggiornare) la chiave gestita dal cliente in un secondo momento.

Importante

Se si ruota la chiave, è necessario mantenere disponibile la chiave precedente per 24 ore.

Questa funzionalità non crittografa i dati archiviati all'esterno del piano di controllo. Per crittografare i dati nell'account di archiviazione dell'area di lavoro, vedere Chiavi gestite dal cliente per la radice DBFS.

È possibile abilitare le chiavi gestite dal cliente usando insiemi di credenziali delle chiavi di Azure o moduli di protezione hardware di Azure Key Vault: