Door de klant beheerde sleutels voor DBFS-hoofdmap
Notitie
Deze functie is alleen beschikbaar in het Premium-abonnement.
Voor extra controle over uw gegevens kunt u uw eigen sleutel toevoegen om de toegang tot bepaalde typen gegevens te beveiligen en te beheren. Azure Databricks heeft twee door de klant beheerde belangrijke functies die betrekking hebben op verschillende typen gegevens en locaties. Zie Door de klant beheerde sleutels voor versleuteling voor een vergelijking.
Standaard wordt het opslagaccount versleuteld met door Microsoft beheerde sleutels. Nadat u een door de klant beheerde sleutel voor DBFS-hoofdmap hebt toegevoegd, gebruikt Azure Databricks uw sleutel om alle gegevens in de hoofd-blobopslag van de werkruimte te versleutelen.
- Het opslagaccount van de werkruimte bevat de DBFS-hoofdmap van uw werkruimte. Dit is de standaardlocatie in DBFS. Databricks File System (DBFS) is een gedistribueerd bestandssysteem dat is gekoppeld aan een Azure Databricks-werkruimte en beschikbaar is in Azure Databricks-clusters. DBFS wordt geïmplementeerd als een Blob Storage-exemplaar in de beheerde resourcegroep van uw Azure Databricks-werkruimte. Het opslagaccount van de werkruimte bevat MLflow-modellen en Delta Live Table-gegevens in de DBFS-hoofdmap (maar niet voor DBFS-koppelingen).
- Het opslagaccount van de werkruimte bevat ook de systeemgegevens van uw werkruimte (niet rechtstreeks toegankelijk voor u met behulp van DBFS-paden), waaronder taakresultaten, Databricks SQL-resultaten, notebookrevisies en enkele andere werkruimtegegevens.
Belangrijk
Deze functie is van invloed op uw DBFS-hoofdmap , maar wordt niet gebruikt voor het versleutelen van gegevens op aanvullende DBFS-koppelingen, zoals DBFS-koppelingen van extra Blob- of ADLS-opslag. Koppelen zijn een verouderd toegangspatroon. Databricks raadt het gebruik van Unity Catalog aan voor het beheren van alle gegevenstoegang. Zie Verbinding maken naar cloudobjectopslag met behulp van Unity Catalog.
U moet Azure Key Vault gebruiken om door de klant beheerde sleutels op te slaan. U kunt uw sleutels opslaan in Azure Key Vault-kluizen of In Azure Key Vault beheerde HSM's (Hardware Security Modules). Zie Over Key Vault-sleutels voor meer informatie over Azure Key Vault-kluizen en HSM's. Er zijn verschillende instructies voor het gebruik van Azure Key Vault-kluizen en Azure Key Vault HSM's.
De Key Vault moet zich in dezelfde Azure-tenant bevinden als uw Azure Databricks-werkruimte.
U kunt door de klant beheerde sleutels inschakelen met behulp van Azure Key Vault-kluizen voor uw werkruimteopslagaccount op drie verschillende manieren:
- Door klant beheerde sleutels configureren voor DBFS met de Azure Portal
- Door klant beheerde sleutels configureren voor DBFS met de Azure CLI
- Door klant beheerde sleutels configureren voor DBFS met PowerShell
U kunt door de klant beheerde sleutels ook inschakelen met behulp van Azure Key Vault-HSM's voor uw werkruimteopslagaccount op drie verschillende manieren: