암호화를 위해 고객 관리 키 사용
이 문서에서는 암호화를 위한 고객 관리형 키에 대한 개요를 제공합니다.
참고 항목
이 기능을 사용하려면 Premium 플랜이 필요합니다.
암호화를 위한 고객 관리 키 개요
일부 서비스 및 데이터는 고객이 관리하는 키를 추가하여 암호화된 데이터에 대한 액세스를 보호하고 제어할 수 있도록 지원합니다. 클라우드에서 키 관리 서비스를 사용하여 고객 관리형 암호화 키를 유지할 수 있습니다.
Azure Databricks는 Azure Key Vault 자격 증명 모음 및 Azure Key Vault 관리형 HSM(하드웨어 보안 모듈)의 고객 관리형 키를 지원합니다.
Azure Databricks에는 서로 다른 유형의 데이터에 대한 세 가지 고객 관리형 키 기능이 있습니다.
다음 표에서는 어떤 유형의 데이터에 사용되는 고객 관리형 키 기능을 나열합니다.
| 데이터 형식 | 위치 | 고객 관리형 키 기능 |
|---|---|---|
| AI/BI 대시보드 | 제어 평면 | 관리되는 서비스 |
| Notebook 원본 및 메타데이터 | 제어 평면 | 관리되는 서비스 |
| 개인 액세스 토큰(PAT) 또는 기타 자격 증명을 사용하여 Git과 Databricks Git 폴더를 통합하는 데 사용됩니다. | 제어 평면 | 관리되는 서비스 |
| 비밀 관리자 API가 저장한 비밀 | 제어 평면 | 관리되는 서비스 |
| Databricks SQL 쿼리 및 쿼리 기록 | 제어 평면 | 관리되는 서비스 |
| 벡터 검색 인덱스 및 메타데이터 | 서버리스 컴퓨팅 플레인 | 관리되는 서비스 |
| 고객이 액세스할 수 있는 DBFS 루트 데이터 | Azure 구독의 작업 영역 스토리지 계정에 있는 작업 영역의 DBFS 루트입니다. 여기에는 FileStore 영역도 포함됩니다. | DBFS 루트 |
| 작업 결과 | Azure 구독의 작업 영역 스토리지 계정 | DBFS 루트 |
| Databricks SQL 결과 | Azure 구독의 작업 영역 스토리지 계정 | DBFS 루트 |
| MLflow 모델 | Azure 구독의 작업 영역 스토리지 계정 | DBFS 루트 |
| Delta Live Table | DBFS 루트에서 DBFS 경로를 사용하는 경우 이 경로가 Azure 구독의 작업 공간 스토리지 계정에 저장됩니다. 이는 다른 데이터 원본에 대한 탑재 지점을 나타내는 DBFS 경로에는 적용되지 않습니다. | DBFS 루트 |
| 대화형 Notebook 결과 | 기본적으로 Notebook을 대화형으로(작업으로 실행하지 않고) 실행하는 경우 결과는 성능을 위해 제어 영역에 저장되며 일부 대용량 결과는 Azure 구독의 작업 공간 저장소 계정에 저장됩니다. 모든 대화형 Notebook 결과를 작업 영역 저장소 계정에 저장하도록 Azure Databricks을 구성하도록 선택할 수 있습니다. 대화형 Notebook 결과의 저장 위치 구성을 참고하세요. | 컨트롤 플레인의 부분 결과를 보려면 관리형 서비스에 고객 관리형 키를 사용합니다. 모든 결과 저장소에 대해 구성할 수 있는 작업 공간 저장소 계정의 결과의 경우 DBFS 루트에 대해 고객 관리 키를 사용합니다. |
| Notebook 수정본과 같이 DBFS를 통해 액세스할 수 없는 작업 영역 스토리지 계정의 기타 작업 영역 시스템 데이터입니다. | Azure 구독의 작업 영역 스토리지 계정 | DBFS 루트 |
| 관리 디스크 | 클러스터와 같은 컴퓨팅 리소스에 있는 VM의 임시 디스크 스토리지입니다. Azure 구독의 클래식 컴퓨팅 플레인에 있는 컴퓨팅 리소스에만 적용됩니다. 서버리스 컴퓨팅 및 고객 관리형 키를 참조하세요. | 관리 디스크 |
Azure 구독에서 작업 공간 스토리지 계정 인스턴스에 대한 추가 보안을 위해 이중 암호화 및 방화벽 지원을 사용하도록 설정할 수 있습니다. DBFS 루트에 이중 암호화 구성하기와 작업 영역 스토리지 계정에 대한 방화벽 지원을 사용을 참조하세요.
Important
2024년 11월 1일 이후에 만든 AI/BI 대시보드만 암호화되고 고객 관리형 키와 호환됩니다.
서버리스 컴퓨팅 및 고객 관리형 키
Databricks SQL Serverless는 다음을 지원합니다.
Databricks SQL 쿼리 및 쿼리 기록에 대한 관리형 서비스를 위한 고객 관리형 키입니다.
Databricks SQL 결과를 위한 DBFS 루트 스토리지의 고객 관리 키입니다.
관리 디스크 스토리지에 대한 고객 관리형 키는 서버리스 컴퓨팅 리소스에 적용되지 않습니다. 서버리스 컴퓨팅 리소스용 디스크는 수명이 짧고 서버리스 워크로드의 수명 주기에 연결되어 있습니다. 컴퓨팅 리소스가 중지되거나 크기 조정되면 VM과 해당 스토리지가 제거됩니다.
모델 서비스
서버리스 컴퓨팅 기능인 모델 서비스 리소스는 일반적으로 다음 두 가지 범주로 구성됩니다.
- 모델에 대해 만든 리소스는 ADLSgen2(이전 작업 영역의 경우 Blob Storage)의 작업 영역 스토리지에 있는 작업 영역의 DBFS 루트에 저장됩니다. 여기에는 모델의 아티팩트 및 버전 메타데이터가 포함됩니다. 작업 영역 모델 레지스트리와 MLflow 모두 이 스토리지를 사용합니다. 고객 관리형 키를 사용하도록 이 스토리지를 구성할 수 있습니다.
- Azure Databricks가 사용자 대신 직접 만드는 리소스에는 모델 이미지 및 임시 서버리스 컴퓨팅 스토리지가 포함됩니다. 이러한 키는 Databricks 관리형 키로 암호화되며 고객 관리형 키를 지원하지 않습니다.
관리 디스크 스토리지에 대한 고객 관리형 키는 서버리스 컴퓨팅 리소스에 적용되지 않습니다. 서버리스 컴퓨팅 리소스용 디스크는 수명이 짧고 서버리스 워크로드의 수명 주기에 연결되어 있습니다. 컴퓨팅 리소스가 중지되거나 크기 조정되면 VM과 해당 스토리지가 제거됩니다.