Chiavi gestite dal cliente per la radice di DBFS
Nota
Questa funzionalità è disponibile solo nel piano Premium.
Per un controllo aggiuntivo dei dati, è possibile aggiungere la propria chiave per proteggere e controllare l'accesso ad alcuni tipi di dati. Azure Databricks include due funzionalità chiave gestite dal cliente che coinvolgono diversi tipi di dati e posizioni. Per un confronto, vedere Chiavi gestite dal cliente per la crittografia.
Per impostazione predefinita, l'account di archiviazione viene crittografato con chiavi gestite da Microsoft. Dopo aver aggiunto una chiave gestita dal cliente per la radice DBFS, Azure Databricks usa la chiave per crittografare tutti i dati nell'archivio BLOB radice dell'area di lavoro.
- L'archivio BLOB radice contiene la radice DBFS dell'area di lavoro, ovvero il percorso predefinito in DBFS. Il file system di Databricks è un file system distribuito montato in un'area di lavoro di Azure Databricks e disponibile nei cluster Azure Databricks. DBFS viene implementato come istanza di archiviazione BLOB nel gruppo di risorse gestite dell'area di lavoro di Azure Databricks. L'archiviazione radice DBFS include modelli MLflow e dati di tabella live Delta nella radice DBFS (ma non per i montaggi DBFS).
- L'archiviazione BLOB radice include anche i dati di sistema dell'area di lavoro (non direttamente accessibili tramite percorsi DBFS), inclusi i risultati dei processi, i risultati di Databricks SQL, le revisioni dei notebook e altri dati dell'area di lavoro.
Importante
Questa funzionalità influisce sulla radice DBFS, ma non viene usata per crittografare i dati in qualsiasi montaggio DBFS aggiuntivo , ad esempio i montaggi DBFS di archiviazione BLOB o ADLS aggiuntivi.
È necessario usare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile archiviare le chiavi in insiemi di credenziali di Azure Key Vault o moduli di sicurezza hardware gestiti di Azure Key Vault. Per altre informazioni sugli insiemi di credenziali delle chiavi di Azure e sui moduli di protezione hardware, vedere Informazioni sulle chiavi di Key Vault. Sono disponibili istruzioni diverse per l'uso di insiemi di credenziali di Azure Key Vault e moduli di protezione hardware di Azure Key Vault.
L'insieme di credenziali delle chiavi deve trovarsi nello stesso tenant di Azure dell'area di lavoro di Azure Databricks.
È possibile abilitare le chiavi gestite dal cliente usando gli insiemi di credenziali di Azure Key Vault per l'archiviazione DBFS in tre modi diversi:
- Configurare le chiavi gestite dal cliente per il file system di Databricks con il portale di Azure
- Configurare le chiavi gestite dal cliente per il file system di Databricks con l'interfaccia della riga di comando di Azure
- Configurare le chiavi gestite dal cliente per il file system di Databricks con PowerShell
È anche possibile abilitare le chiavi gestite dal cliente usando moduli di protezione hardware di Azure Key Vault per l'archiviazione DBFS in tre modi diversi:
- Configurare le chiavi gestite dal cliente del modulo di protezione hardware per DBFS usando il portale di Azure
- Configurare chiavi gestite dal cliente del modulo di protezione hardware per DBFS usando l'interfaccia della riga di comando di Azure
- Configurare chiavi gestite dal cliente del modulo di protezione hardware per DBFS tramite PowerShell
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per