Door de klant beheerde sleutels gebruiken voor versleuteling
Dit artikel bevat een overzicht van door de klant beheerde sleutels voor versleuteling.
Notitie
Voor deze functie is het Premium-abonnement vereist.
Overzicht van door de klant beheerde sleutels voor versleuteling
Sommige services en gegevens ondersteunen het toevoegen van een door de klant beheerde sleutel om de toegang tot versleutelde gegevens te beveiligen en te beheren. U kunt de sleutelbeheerservice in uw cloud gebruiken om een door de klant beheerde versleutelingssleutel te onderhouden.
Azure Databricks ondersteunt door de klant beheerde sleutels van Azure Key Vault-kluizen en Azure Key Vault Managed HSM (Hardware Security Modules).
Azure Databricks heeft drie functies van door de klant beheerde sleutels voor verschillende typen gegevens:
- Door de klant beheerde sleutels voor beheerde Azure-schijven
- Door de klant beheerde sleutels voor beheerde services
- Door de klant beheerde sleutels voor DBFS-hoofdmap
De volgende tabel bevat welke door de klant beheerde sleutelfuncties worden gebruikt voor welke typen gegevens.
| Type gegevens | Locatie | Door de klant beheerde sleutelfunctie |
|---|---|---|
| Notebookbron en metagegevens | Besturingsvlak | Beheerde services |
| Persoonlijke toegangstokens (PAT) of andere referenties die worden gebruikt voor Git-integratie met Databricks Git-mappen | Besturingsvlak | Beheerde services |
| Geheimen die zijn opgeslagen door de secret manager-API's | Besturingsvlak | Beheerde services |
| Databricks SQL-query's en querygeschiedenis | Besturingsvlak | Beheerde services |
| Vector Search-indexen en -metagegevens | Serverloos rekenvlak | Beheerde services |
| Door de klant toegankelijke DBFS-hoofdgegevens | De DBFS-hoofdmap van uw werkruimte in uw werkruimteopslagaccount in uw Azure-abonnement. Dit omvat ook het gebied FileStore. | DBFS-hoofdmap |
| Taakresultaten | Opslagaccount voor werkruimten in uw Azure-abonnement | DBFS-hoofdmap |
| Databricks SQL-resultaten | Opslagaccount voor werkruimten in uw Azure-abonnement | DBFS-hoofdmap |
| MLflow-modellen | Opslagaccount voor werkruimten in uw Azure-abonnement | DBFS-hoofdmap |
| Delta Live Table | Als u een DBFS-pad in uw DBFS-hoofdmap gebruikt, wordt dit opgeslagen in uw werkruimteopslagaccount in uw Azure-abonnement. Dit geldt niet voor DBFS-paden die koppelpunten aan andere gegevensbronnen vertegenwoordigen. | DBFS-hoofdmap |
| Resultaten van interactief notitieblok | Wanneer u een notebook interactief uitvoert (in plaats van als taak) worden resultaten standaard opgeslagen in het besturingsvlak voor prestaties met enkele grote resultaten die zijn opgeslagen in uw werkruimteopslagaccount in uw Azure-abonnement. U kunt Ervoor kiezen om Azure Databricks te configureren voor het opslaan van alle interactieve notebookresultaten in uw werkruimteopslagaccount. Zie De opslaglocatie configureren voor interactieve notebookresultaten. | Voor gedeeltelijke resultaten in het besturingsvlak gebruikt u een door de klant beheerde sleutel voor beheerde services. Voor resultaten in het werkruimteopslagaccount, dat u voor alle resultaatopslag kunt configureren, gebruikt u een door de klant beheerde sleutel voor de DBFS-hoofdmap. |
| Andere systeemgegevens van werkruimten in het werkruimteopslagaccount dat niet toegankelijk is via DBFS, zoals notebookrevisies. | Opslagaccount voor werkruimten in uw Azure-abonnement | DBFS-hoofdmap |
| Beheerde schijven | Tijdelijke schijfopslag van VM's in rekenresources, zoals clusters. Alleen van toepassing op rekenresources in het klassieke rekenvlak in uw Azure-abonnement. Raadpleeg Serverloze rekenkracht en door de klant beheerde sleutels. | Beheerde schijven |
Voor extra beveiliging voor het exemplaar van uw werkruimteopslagaccount in uw Azure-abonnement kunt u dubbele versleuteling en firewallondersteuning inschakelen. Zie Dubbele versleuteling configureren voor dbFS-hoofdmap en firewallondersteuning inschakelen voor uw werkruimteopslagaccount.
Serverloze rekenkracht en door de klant beheerde sleutels
Databricks SQL Serverless biedt ondersteuning voor:
Door de klant beheerde sleutels voor beheerde services voor Databricks SQL-query's en querygeschiedenis.
Door de klant beheerde sleutels voor DBFS-hoofdopslag voor Databricks SQL-resultaten.
Door de klant beheerde sleutels voor beheerde schijfopslag zijn niet van toepassing op serverloze rekenresources. Schijven voor serverloze rekenresources zijn kortlevend en gekoppeld aan de levenscyclus van de serverloze workload. Wanneer rekenresources worden gestopt of omlaag worden geschaald, worden de VM's en hun opslag vernietigd.
Model serveren
Resources voor modelservering, een serverloze rekenfunctie, bevinden zich in het algemeen in twee categorieën:
- Resources die u voor het model maakt, worden opgeslagen in de DBFS-hoofdmap van uw werkruimte in de werkruimteopslag in ADLSgen2 (voor oudere werkruimten, Blob-opslag). Dit omvat de artefacten en versiemetagegevens van het model. Zowel het register van het werkruimtemodel als MLflow maken gebruik van deze opslag. U kunt deze opslag configureren voor het gebruik van door de klant beheerde sleutels.
- Resources die Azure Databricks rechtstreeks namens u maakt, bevatten de modelinstallatiekopieën en tijdelijke serverloze rekenopslag. Deze worden versleuteld met door Databricks beheerde sleutels en bieden geen ondersteuning voor door de klant beheerde sleutels.
Door de klant beheerde sleutels voor beheerde schijfopslag zijn niet van toepassing op serverloze rekenresources. Schijven voor serverloze rekenresources zijn kortlevend en gekoppeld aan de levenscyclus van de serverloze workload. Wanneer rekenresources worden gestopt of omlaag worden geschaald, worden de VM's en hun opslag vernietigd.