Door de klant beheerde sleutels voor beheerde services
Notitie
Voor deze functie is het Premium-abonnement vereist.
Voor extra controle over uw gegevens kunt u uw eigen sleutel toevoegen om de toegang tot bepaalde typen gegevens te beveiligen en te beheren. Azure Databricks heeft drie door de klant beheerde belangrijke functies voor verschillende typen gegevens en locaties. Zie Door de klant beheerde sleutels voor versleuteling om deze te vergelijken.
Gegevens van beheerde services in het Azure Databricks-besturingsvlak worden in rust versleuteld. U kunt een door de klant beheerde sleutel voor beheerde services toevoegen om de toegang tot de volgende typen versleutelde gegevens te beveiligen en te beheren:
- Notebook-bron in het Azure Databricks-besturingsvlak
- Notebookresultaten voor notebooks worden interactief uitgevoerd (niet als taken) die zijn opgeslagen in het besturingsvlak. Standaard worden grotere resultaten ook opgeslagen in de hoofdbucket van uw werkruimte. U kunt Azure Databricks configureren voor het opslaan van alle interactieve notebookresultaten in uw cloudaccount.
- Geheimen die zijn opgeslagen door de secret manager-API's.
- Databricks SQL-query's en querygeschiedenis.
- Persoonlijke toegangstokens (PAT) of andere referenties die worden gebruikt voor het instellen van Git-integratie met Databricks Git-mappen.
Nadat u een door de klant beheerde sleutel voor de versleuteling van beheerde services voor een werkruimte hebt toegevoegd, gebruikt Azure Databricks uw sleutel om de toegang tot de sleutel te beheren waarmee toekomstige schrijfbewerkingen worden versleuteld naar de gegevens van de beheerde services van uw werkruimte. Bestaande gegevens worden niet opnieuw versleuteld. De gegevensversleutelingssleutel wordt in het geheugen opgeslagen voor verschillende lees- en schrijfbewerkingen en wordt regelmatig uit het geheugen verwijderd. Voor nieuwe aanvragen voor die gegevens is een andere aanvraag vereist voor het sleutelbeheersysteem van uw cloudservice. Als u uw sleutel verwijdert of intrekt, mislukt het lezen of schrijven naar de beveiligde gegevens aan het einde van het cachetijdsinterval. U kunt de door de klant beheerde sleutel op een later tijdstip draaien (bijwerken).
Belangrijk
Als u de sleutel roteert, moet u de oude sleutel gedurende 24 uur beschikbaar houden.
Deze functie versleutelt geen gegevens die buiten het besturingsvlak zijn opgeslagen. Als u gegevens in uw werkruimteopslagaccount wilt versleutelen, raadpleegt u door de klant beheerde sleutels voor de DBFS-hoofdmap.
U kunt door de klant beheerde sleutels inschakelen met behulp van Azure Key Vault-kluizen of Azure Key Vault HSM's: