참고
이 기능을 사용하려면 Premium 플랜이 필요합니다.
이 페이지에서는 암호화를 위한 고객 관리형 키에 대한 개요를 제공합니다. 일부 서비스 및 데이터는 고객이 관리하는 키를 추가하여 암호화된 데이터에 대한 액세스를 보호하고 제어할 수 있도록 지원합니다. 클라우드에서 키 관리 서비스를 사용하여 고객 관리형 암호화 키를 유지할 수 있습니다.
Azure Databricks는 Azure Key Vault 자격 증명 모음과 Azure Key Vault 관리형 HSM(하드웨어 보안 모듈)에서 고객이 관리하는 키를 지원합니다.
고객 관리형 키 사용 사례
Azure Databricks 다양한 유형의 데이터에 대한 세 가지 고객 관리형 키 기능이 있습니다.
다음 표에서는 어떤 유형의 데이터에 사용되는 고객 관리형 키 기능을 나열합니다.
| 데이터 형식 | 위치 | 고객 관리형 키 기능 |
|---|---|---|
| AI/BI 대시보드 | 제어 평면 | 관리되는 서비스 |
| 지니 공간 | 제어 평면 | 관리되는 서비스 |
| Notebook 원본 및 메타데이터 | 제어 평면 | 관리되는 서비스 |
| Git과 Databricks Git 폴더를 통합하는 데 사용되는 PAT(개인 액세스 토큰) 또는 기타 자격 증명 | 제어 평면 | 관리되는 서비스 |
| 비밀 관리자 API가 저장한 비밀 | 제어 평면 | 관리되는 서비스 |
| Databricks SQL 쿼리 및 쿼리 기록 | 제어 평면 | 관리되는 서비스 |
| 벡터 검색 인덱스 및 메타데이터 | 서버리스 컴퓨팅 플레인 | 관리되는 서비스 |
| Lakebase 자동 크기 조정 프로젝트 데이터 | 제어 평면 | 관리되는 서비스 |
| 고객이 액세스할 수 있는 DBFS 루트 데이터 | Azure 구독의 작업 영역 스토리지 계정에 있는 작업 영역의 DBFS 루트. 여기에는 FileStore 영역도 포함됩니다. | DBFS 루트 |
| 작업 결과 | Azure 구독의 작업 영역 스토리지 계정 | DBFS 루트 |
| Databricks SQL 결과 | Azure 구독의 작업 영역 스토리지 계정 | DBFS 루트 |
| MLflow 모델 | Azure 구독의 작업 영역 스토리지 계정 | DBFS 루트 |
| Lakeflow Spark 선언형 파이프라인 | DBFS 루트에서 DBFS 경로를 사용하는 경우 Azure 구독의 작업 영역 스토리지 계정에 저장됩니다. 이는 다른 데이터 원본에 대한 탑재 지점을 나타내는 DBFS 경로에는 적용되지 않습니다. | DBFS 루트 |
| 대화형 노트북 결과 | 기본적으로 작업 대신 대화형으로 Notebook을 실행하면 성능이 향상되도록 컨트롤 플레인에 결과가 저장되고 Azure 구독의 작업 영역 스토리지 계정에 일부 큰 결과가 저장됩니다. 모든 대화형 Notebook 결과를 작업 영역 스토리지 계정에 저장하도록 Azure Databricks 구성할 수 있습니다. 대화형 Notebook 결과의 저장 위치 구성을 참고하세요. | 컨트롤 플레인의 부분 결과를 보려면 관리형 서비스에 고객 관리형 키를 사용합니다. 모든 결과 저장소에 대해 구성할 수 있는 작업 공간 저장소 계정의 결과의 경우 DBFS 루트에 대해 고객 관리 키를 사용합니다. |
| Notebook 수정본과 같이 DBFS를 통해 액세스할 수 없는 작업 영역 스토리지 계정의 기타 작업 영역 시스템 데이터입니다. | Azure 구독의 작업 영역 스토리지 계정 | DBFS 루트 |
| 관리형 디스크 | 클러스터와 같은 컴퓨팅 리소스에 있는 VM의 임시 디스크 스토리지입니다. Azure 구독의 클래식 컴퓨팅 평면에 있는 컴퓨팅 리소스에만 적용됩니다. 서버리스 컴퓨팅 및 고객 관리형 키를 참조하세요. | 관리형 디스크 |
| 컨테이너 이미지 및 모델 아티팩트 제공 모델 | 제어 평면 | 관리되는 서비스 |
Azure 구독의 작업 영역 스토리지 계정 인스턴스에 대한 추가 보안을 위해 이중 암호화 및 방화벽 지원을 사용하도록 설정할 수 있습니다. DBFS 루트에 이중 암호화 구성하기와 작업 영역 스토리지 계정에 대한 방화벽 지원을 사용을 참조하세요.
중요
2024년 11월 1일 이후에 만든 AI/BI 대시보드만 암호화되고 고객 관리형 키와 호환됩니다.
2025년 4월 10일 이후에 만든 Genie Spaces만 암호화되고 고객 관리형 키와 호환됩니다.
서버리스 컴퓨팅 및 고객 관리형 키
Databricks SQL Serverless는 다음을 지원합니다.
Databricks SQL 쿼리 및 쿼리 기록에 대한 관리형 서비스를 위한 고객 관리형 키입니다.
Databricks SQL 결과를 위한 DBFS 루트 스토리지의 고객 관리 키입니다.
관리 디스크 스토리지에 대한 고객 관리형 키는 서버리스 컴퓨팅 리소스에 적용되지 않습니다. 서버리스 컴퓨팅 리소스용 디스크는 수명이 짧고 서버리스 워크로드의 수명 주기에 연결되어 있습니다. 컴퓨팅 리소스가 중지되거나 크기 조정되면 VM과 해당 스토리지가 제거됩니다.
모델 서빙
서버리스 컴퓨팅 기능인 모델 서비스 리소스는 일반적으로 다음 두 가지 범주로 구성됩니다.
- 만드는 리소스: 모델 아티팩트 및 버전 메타데이터는 작업 영역의 루트 스토리지에 저장됩니다. 모델 서비스 및 MLflow 모두 이 스토리지를 사용합니다. 이 데이터에 대한 고객 관리형 키 암호화를 구성할 수 있습니다.
- Azure Databricks 만드는 리소스: 컨테이너 이미지 및 모델 아티팩트가 Databricks 관리 레지스트리에 저장됩니다. 관리되는 서비스에 대한 고객 관리형 키는 이 데이터를 암호화합니다.