관리형 서비스에 대한 고객 관리형 키:
참고 항목
이 기능을 사용하려면 Premium 플랜이 필요합니다.
데이터에 대한 추가 제어를 위해 사용자 고유의 키를 추가하여 일부 유형의 데이터에 대한 액세스를 보호하고 제어할 수 있습니다. Azure Databricks에는 다양한 유형의 데이터 및 위치에 대한 세 가지 고객 관리형 키 기능이 있습니다. 비교하려면 암호화를 위한 고객 관리형 키를 참조하세요.
Azure Databricks 컨트롤 플레인의 관리되는 서비스 데이터는 미사용 시 암호화됩니다. 관리되는 서비스에 대한 고객 관리형 키를 추가하여 다음과 같은 유형의 암호화된 데이터에 대한 액세스를 보호하고 제어할 수 있습니다.
- Azure Databricks 컨트롤 플레인의 Notebook 원본
- Notebook에 대한 Notebook 결과는 컨트롤 플레인에 저장된 대화형(작업 아님)으로 실행됩니다. 기본적으로 더 큰 결과는 작업 영역 루트 버킷에도 저장됩니다. 모든 대화형 Notebook 결과를 클라우드 계정에 저장하도록 Azure Databricks를 구성할 수 있습니다.
- 비밀 관리자 API가 저장한 비밀.
- Databricks SQL 쿼리 및 쿼리 기록.
- Pat(개인용 액세스 토큰) 또는 Databricks Git 폴더와 Git 통합을 설정하는 데 사용되는 기타 자격 증명입니다.
작업 영역에 대한 관리형 서비스 암호화를 위한 고객 관리형 키를 추가한 후 Azure Databricks는 키를 사용하여 작업 영역의 관리되는 서비스 데이터에 대한 향후 쓰기 작업을 암호화하는 키에 대한 액세스를 제어합니다. 기존 데이터는 다시 암호화되지 않습니다. 데이터 암호화 키는 여러 읽기 및 쓰기 작업을 위해 메모리에 캐시되고 정기적으로 메모리에서 제거됩니다. 해당 데이터에 대한 새 요청에는 클라우드 서비스의 키 관리 시스템에 대한 또 다른 요청이 필요합니다. 키를 삭제하거나 해지하면 캐시 시간 간격이 끝날 때 보호된 데이터에 대한 읽기 또는 쓰기가 실패합니다. 나중에 고객 관리형 키를 회전(업데이트)할 수 있습니다.
Important
키를 회전하는 경우 이전 키를 24시간 동안 사용할 수 있도록 유지해야 합니다.
이 기능은 컨트롤 플레인 외부에 저장된 데이터를 암호화하지 않습니다. 작업 영역 스토리지 계정의 데이터를 암호화하려면 DBFS 루트에 대한 고객 관리형 키를 참조하세요.
Azure Key Vault 자격 증명 모음 또는 Azure Key Vault HSM을 사용하여 고객 관리형 키를 사용하도록 설정할 수 있습니다.