Klucze zarządzane przez klienta dla katalogu głównego DBFS
Uwaga
Ta funkcja jest dostępna tylko w planie Premium.
Aby uzyskać dodatkową kontrolę nad danymi, możesz dodać własny klucz, aby chronić i kontrolować dostęp do niektórych typów danych. Usługa Azure Databricks ma dwie kluczowe funkcje zarządzane przez klienta, które obejmują różne typy danych i lokalizacji. Aby zapoznać się z porównaniem, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania.
Domyślnie konto magazynu jest szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Po dodaniu klucza zarządzanego przez klienta dla katalogu głównego DBFS usługa Azure Databricks używa Twojego klucza do szyfrowania wszystkich danych w głównym magazynie obiektów blob obszaru roboczego.
- Konto magazynu obszaru roboczego zawiera główny plik DBFS obszaru roboczego, który jest domyślną lokalizacją w systemie plików DBFS. System plików usługi Databricks (DBFS, Databricks File System) to rozproszony system plików zainstalowany w obszarze roboczym usługi Azure Databricks i dostępny w klastrach usługi Azure Databricks. System dbFS jest implementowany jako wystąpienie usługi Blob Storage w zarządzanej grupie zasobów obszaru roboczego usługi Azure Databricks. Konto magazynu obszaru roboczego obejmuje modele MLflow i dane delta Live Table w katalogu głównym systemu plików DBFS (ale nie w przypadku instalacji systemu plików DBFS).
- Konto magazynu obszaru roboczego obejmuje również dane systemowe obszaru roboczego (niedostępne bezpośrednio dla Ciebie przy użyciu ścieżek systemu plików DBFS), które obejmują wyniki zadań, wyniki usługi Databricks SQL, poprawki notesu i inne dane obszaru roboczego.
Ważne
Ta funkcja ma wpływ na główny system plików DBFS, ale nie jest używana do szyfrowania danych na żadnych dodatkowych instalacjach systemu plików DBFS, takich jak instalacja systemu plików DBFS dodatkowych obiektów blob lub magazynu usługi ADLS. Instalacja jest starszym wzorcem dostępu. Usługa Databricks zaleca używanie wykazu aparatu Unity do zarządzania wszystkimi dostępami do danych. Zobacz Łączenie z magazynem obiektów w chmurze i usługami przy użyciu wykazu aparatu Unity.
Aby przechowywać klucze zarządzane przez klienta, należy użyć usługi Azure Key Vault. Klucze można przechowywać w magazynach usługi Azure Key Vault lub w zarządzanych modułach zabezpieczeń sprzętowych usługi Azure Key Vault (HSM). Aby dowiedzieć się więcej na temat magazynów i modułów HSM usługi Azure Key Vault, zobacz About Key Vault keys (Informacje o kluczach usługi Key Vault). Istnieją różne instrukcje dotyczące używania magazynów usługi Azure Key Vault i modułów HSM usługi Azure Key Vault.
Usługa Key Vault musi znajdować się w tej samej dzierżawie platformy Azure co obszar roboczy usługi Azure Databricks.
Klucze zarządzane przez klienta można włączyć przy użyciu magazynów usługi Azure Key Vault dla konta magazynu obszaru roboczego na trzy różne sposoby:
- Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą witryny Azure Portal
- Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą interfejsu wiersza polecenia platformy Azure
- Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą programu PowerShell
Klucze zarządzane przez klienta można również włączyć za pomocą modułów HSM usługi Azure Key Vault dla konta magazynu obszaru roboczego na trzy różne sposoby:
- Konfigurowanie kluczy zarządzanych przez klienta przez moduł HSM dla systemu plików DBFS przy użyciu witryny Azure Portal
- Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu interfejsu wiersza polecenia platformy Azure
- Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu programu PowerShell