Chiavi gestite dal cliente per la crittografia
Questo articolo offre una panoramica delle chiavi gestite dal cliente per la crittografia.
Nota
Questa funzionalità richiede il Piano Premium.
Chiavi gestite dal cliente per la panoramica della crittografia
Alcuni servizi e dati supportano l'aggiunta di una chiave gestita dal cliente per proteggere e controllare l'accesso ai dati crittografati. È possibile usare il servizio di gestione delle chiavi nel cloud per gestire una chiave di crittografia gestita dal cliente.
Azure Databricks supporta le chiavi gestite dal cliente da insiemi di credenziali di Azure Key Vault e dal HSM (modulo di protezione hardware) gestito di Azure Key Vault.
Azure Databricks offre tre funzionalità chiave gestite dal cliente per diversi tipi di dati:
- Chiavi gestite dal cliente per dischi gestiti di Azure
- Chiavi gestite dal cliente per i servizi gestiti
- Chiavi gestite dal cliente per la radice di DBFS
Nella tabella seguente sono elencate le funzionalità chiave gestite dal cliente usate per i tipi di dati.
| Tipo di dati | Ufficio | Funzionalità chiave gestita dal cliente |
|---|---|---|
| Origine e metadati del notebook | Piano di controllo | Servizi gestiti |
| Token di accesso personali o altre credenziali usate per l'integrazione di Git con le cartelle di Databricks Git | Piano di controllo | Servizi gestiti |
| Segreti archiviati dalle API di gestione dei segreti | Piano di controllo | Servizi gestiti |
| Query e cronologia delle query SQL di Databricks | Piano di controllo | Servizi gestiti |
| Indici e metadati di Ricerca vettoriale | Piano di elaborazione serverless | Servizi gestiti |
| Dati radice DBFS accessibili dal cliente | RadiceDBFS dell'area di lavoro nell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure. Questo include anche l'area FileStore. | Radice DBFS |
| Risultati del processo | Account di archiviazione dell’area di lavoro nella sottoscrizione di Azure | Radice DBFS |
| Risultati diSQL di Databricks | Account di archiviazione dell’area di lavoro nella sottoscrizione di Azure | Radice DBFS |
| Modelli MLflow | Account di archiviazione dell’area di lavoro nella sottoscrizione di Azure | Radice DBFS |
| Delta Live Table | Se si usa un percorso DBFS nella radice DBFS, questo viene archiviato nell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure. Ciò non si applica ai percorsi DBFS che rappresentano punti di montaggio ad altre origini dati. | Radice DBFS |
| Risultati del notebook interattivo | Per impostazione predefinita, quando si esegue un notebook in modo interattivo (anziché come processo) i risultati vengono archiviati nel piano di controllo per ottenere prestazioni con alcuni risultati di grandi dimensioni archiviati nell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure. È possibile configurare Azure Databricks per archiviare tutti i risultati interattivi dei notebook nell'account di archiviazione dell'area di lavoro. Vedere Configurare la posizione di archiviazione dei risultati interattivi del notebook. | Per ottenere risultati parziali nel piano di controllo, usare una chiave gestita dal cliente per i servizi gestiti. Per ottenere i risultati nell'account di archiviazione dell'area di lavoro, che è possibile configurare per tutte le risorse di archiviazione dei risultati, usare una chiave gestita dal cliente per la radice DBFS. |
| Altri dati di sistema dell'area di lavoro nell'account di archiviazione dell'area di lavoro non accessibili tramite DBFS, ad esempio le revisioni dei notebook. | Account di archiviazione dell’area di lavoro nella sottoscrizione di Azure | Radice DBFS |
| Dischi gestiti | Archiviazione su disco temporanea delle macchine virtuali nelle risorse di calcolo, ad esempio i cluster. Si applica solo alle risorse di calcolo nel piano di calcolo classico nella sottoscrizione di Azure. Vedere Elaborazione serverless e chiavi gestite dal cliente. | Dischi gestiti |
Per una maggiore sicurezza per l'istanza dell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure, è possibile abilitare la doppia crittografia e il supporto del firewall. Vedere Configurare la doppia crittografia per la radice DBFS e Abilitare il supporto del firewall per l'account di archiviazione dell'area di lavoro.
Elaborazione serverless e chiavi gestite dal cliente
Databricks SQL Serverless supporta:
Chiavi gestite dal cliente per i servizi gestiti per le query SQL di Databricks e la cronologia delle query.
Chiavi gestite dal cliente per l'archiviazione radice DBFS per i risultati di Databricks di SQL.
Le chiavi gestite dal cliente per l'archiviazione su disco gestito non si applicano alle risorse di elaborazione serverless. I dischi usati per le risorse di elaborazione serverless sono di breve durata e legati al ciclo di vita del carico di lavoro serverless. Quando le risorse di calcolo vengono arrestate o ridimensionate, le VM e le relative risorse di archiviazione vengono eliminate definitivamente.
Gestione dei modelli
Le risorse per la gestione dei modelli, una funzionalità di elaborazione serverless, sono in genere in due categorie:
- Le risorse create per il modello vengono archiviate nella radice DBFS dell'area di lavoro nell'archiviazione dell'area di lavoro in ADLSgen2 (per le aree di lavoro precedenti, archiviazione BLOB). Sono inclusi gli artefatti e i metadati della versione del modello. Sia il registro dei modelli dell'area di lavoro che MLflow usano questa risorsa di archiviazione. È possibile configurare questa risorsa di archiviazione per l'uso delle chiavi gestite dal cliente.
- Le risorse create da Azure Databricks direttamente per conto dell'utente includono l'immagine del modello e l'archiviazione temporanea di elaborazione serverless. Queste chiavi vengono crittografate con chiavi gestite da Databricks e non supportano le chiavi gestite dal cliente.
Le chiavi gestite dal cliente per l'archiviazione su disco gestito non si applicano alle risorse di elaborazione serverless. I dischi usati per le risorse di elaborazione serverless sono di breve durata e legati al ciclo di vita del carico di lavoro serverless. Quando le risorse di calcolo vengono arrestate o ridimensionate, le VM e le relative risorse di archiviazione vengono eliminate definitivamente.