암호화를 위해 고객 관리 키 사용
이 문서에서는 암호화를 위한 고객 관리형 키에 대한 개요를 제공합니다.
참고 항목
이 기능을 사용하려면 Premium 플랜이 필요합니다.
암호화를 위한 고객 관리형 키 개요
일부 서비스 및 데이터는 암호화된 데이터에 대한 액세스를 보호하고 제어하는 데 도움이 되는 고객 관리형 키 추가를 지원합니다. 클라우드의 키 관리 서비스를 사용하여 고객 관리형 암호화 키를 기본 수 있습니다.
Azure Databricks는 Azure Key Vault 자격 증명 모음 및 Azure Key Vault 관리형 HSM(하드웨어 보안 모듈)의 고객 관리형 키를 지원합니다.
Azure Databricks에는 서로 다른 유형의 데이터에 대한 세 가지 고객 관리형 키 기능이 있습니다.
다음 표에서는 어떤 유형의 데이터에 사용되는 고객 관리형 키 기능을 나열합니다.
| 데이터 형식 | 위치 | 고객 관리형 키 기능 |
|---|---|---|
| Notebook 원본 및 메타데이터 | 제어 평면 | 관리되는 서비스 |
| Databricks Git 폴더와 Git 통합에 사용되는 PAT(개인 액세스 토큰) 또는 기타 자격 증명 | 제어 평면 | 관리되는 서비스 |
| 비밀 관리자 API가 저장한 비밀 | 제어 평면 | 관리되는 서비스 |
| Databricks SQL 쿼리 및 쿼리 기록 | 제어 평면 | 관리되는 서비스 |
| 고객이 액세스할 수 있는 DBFS 루트 데이터 | Azure 구독의 작업 영역 DBFS 루트 스토리지에 있는 작업 영역의 DBFS 루트입니다. 여기에는 FileStore 영역도 포함됩니다. | DBFS 루트 |
| 작업 결과 | Azure 구독의 작업 영역 DBFS 루트 스토리지 인스턴스 | DBFS 루트 |
| Databricks SQL 결과 | Azure 구독의 작업 영역 DBFS 루트 스토리지 인스턴스 | DBFS 루트 |
| MLflow 모델 | Azure 구독의 작업 영역 DBFS 루트 스토리지 인스턴스 | DBFS 루트 |
| Delta Live Table | DBFS 루트에서 DBFS 경로를 사용하는 경우 Azure 구독의 작업 영역 DBFS 루트 스토리지 인스턴스 에 저장됩니다. 이는 다른 데이터 원본에 대한 탑재 지점을 나타내는 DBFS 경로에는 적용되지 않습니다. | DBFS 루트 |
| 대화형 Notebook 결과 | 기본적으로 작업 대신 대화형으로 Notebook을 실행하는 경우 결과는 Azure 구독의 작업 영역 DBFS 루트 스토리지 에 저장된 일부 큰 결과와 함께 성능을 위해 컨트롤 플레인에 저장됩니다. 모든 대화형 Notebook 결과를 클라우드 계정에 저장하도록 Azure Databricks를 구성할 수 있습니다. | 컨트롤 플레인의 부분 결과를 보려면 관리형 서비스에 고객 관리형 키를 사용합니다. 모든 결과 스토리지에 대해 구성할 수 있는 DBFS 루트 스토리지의 결과인 경우 DBFS 루트에 대해 고객 관리형 키를 사용합니다. |
| Notebook 수정 버전과 같이 DBFS를 통해 액세스할 수 없는 DBFS 루트 스토리지의 다른 작업 영역 시스템 데이터입니다. | Azure 구독의 작업 영역 DBFS 루트 스토리지 | DBFS 루트 |
| 관리 디스크 | 클러스터와 같은 컴퓨팅 리소스에 있는 VM의 임시 디스크 스토리지입니다. Azure 구독의 클래식 컴퓨팅 평면에 있는 컴퓨팅 리소스에만 적용됩니다. 서버리스 컴퓨팅 및 고객 관리형 키를 참조하세요. | 관리 디스크 |
Azure 구독에서 작업 영역의 DBFS 루트 스토리지 인스턴스에 대한 추가 보안을 위해 DBFS 루트에 이중 암호화를 사용하도록 설정할 수 있습니다.
서버리스 컴퓨팅 및 고객 관리형 키
Databricks SQL Serverless 는 다음을 지원합니다.
Databricks SQL 쿼리 및 쿼리 기록에 대한 관리형 서비스에 대한 고객 관리형 키입니다.
Databricks SQL 결과에 대한 DBFS 루트 스토리지 에 대한 고객 관리형 키입니다.
관리 디스크 스토리지 에 대한 고객 관리형 키는 서버리스 컴퓨팅 리소스에 적용되지 않습니다. 서버리스 컴퓨팅 리소스용 디스크는 수명이 짧고 서버리스 워크로드의 수명 주기에 연결되어 있습니다. 컴퓨팅 리소스가 중지되거나 크기 조정되면 VM과 해당 스토리지가 제거됩니다.
모델 서비스
서버리스 컴퓨팅 기능인 모델 서비스 리소스는 일반적으로 다음 두 가지 범주로 구성됩니다.
- 모델에 대해 만든 리소스는 ADLSgen2(이전 작업 영역의 경우 Blob Storage)의 작업 영역 스토리지에 있는 작업 영역의 DBFS 루트에 저장됩니다. 여기에는 모델의 아티팩트 및 버전 메타데이터가 포함됩니다. 작업 영역 모델 레지스트리와 MLflow 모두 이 스토리지를 사용합니다. 고객 관리형 키를 사용하도록 이 스토리지를 구성할 수 있습니다.
- Azure Databricks가 사용자 대신 직접 만드는 리소스에는 모델 이미지 및 임시 서버리스 컴퓨팅 스토리지가 포함됩니다. 이러한 키는 Databricks 관리형 키로 암호화되며 고객 관리형 키를 지원하지 않습니다.
관리 디스크 스토리지에 대한 고객 관리형 키는 서버리스 컴퓨팅 리소스에 적용되지 않습니다. 서버리스 컴퓨팅 리소스용 디스크는 수명이 짧고 서버리스 워크로드의 수명 주기에 연결되어 있습니다. 컴퓨팅 리소스가 중지되거나 크기 조정되면 VM과 해당 스토리지가 제거됩니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기