Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Ta funkcja wymaga planu Premium.
Ta strona zawiera omówienie kluczy zarządzanych przez klienta na potrzeby szyfrowania. Niektóre usługi i dane obsługują dodawanie klucza zarządzanego przez klienta, aby chronić i kontrolować dostęp do zaszyfrowanych danych. Usługę zarządzania kluczami w chmurze można użyć do obsługi klucza szyfrowania zarządzanego przez klienta.
Azure Databricks obsługuje klucze zarządzane przez klienta z magazynów Azure Key Vault i Azure Key Vault Managed HSM (sprzętowe moduły zabezpieczeń).
Przypadki użycia kluczy zarządzanych przez klienta
Azure Databricks ma trzy kluczowe funkcje zarządzane przez klienta dla różnych typów danych:
- Klucze zarządzane przez klienta dla dysków zarządzanych Azure
- Zarządzane przez klienta klucze do usług zarządzanych
- Klucze zarządzane przez klienta dla katalogu głównego DBFS
W poniższej tabeli wymieniono funkcje klucza zarządzanego przez klienta, dla których typów danych są używane.
| Typ danych | Lokalizacja | Funkcja klucza zarządzanego przez klienta |
|---|---|---|
| Pulpity sztucznej inteligencji/inteligencji biznesowej | Płaszczyzna sterowania | Usługi zarządzane |
| Miejsca genie | Płaszczyzna sterowania | Usługi zarządzane |
| Źródło i metadane notatnika | Płaszczyzna sterowania | Usługi zarządzane |
| Osobiste tokeny dostępu (PAT) lub inne poświadczenia używane do integracji Git z folderami Usługi Git usługi Databricks | Płaszczyzna sterowania | Usługi zarządzane |
| Tajemnice przechowywane przez interfejsy API zarządzające tajemnicami | Płaszczyzna sterowania | Usługi zarządzane |
| Zapytania SQL i historia zapytań usługi Databricks | Płaszczyzna sterowania | Usługi zarządzane |
| Indeksy i metadane wyszukiwania wektorowego | Bezserwerowa płaszczyzna obliczeniowa | Usługi zarządzane |
| Dane projektu autoskalowania w usłudze Lakebase | Płaszczyzna sterowania | Usługi zarządzane |
| Dane główne systemu DBFS dostępne dla klienta | Konto magazynu obszaru roboczego DBFS root na koncie magazynu obszaru roboczego w subskrypcji Azure. Obejmuje to również obszar FileStore. | Root DBFS |
| Wyniki zadania | Konto magazynowe obszaru roboczego w subskrypcji Azure | Root DBFS |
| Wyniki usługi Databricks SQL | Konto magazynowe obszaru roboczego w subskrypcji Azure | Root DBFS |
| Modele MLflow | Konto magazynowe obszaru roboczego w subskrypcji Azure | Root DBFS |
| Potoki deklaratywne platformy Spark w usłudze Lakeflow | Jeśli używasz ścieżki DBFS w katalogu głównym DBFS, jest ona przechowywana na koncie magazynu obszaru roboczego w ramach subskrypcji Azure. Nie dotyczy to ścieżek systemu plików DBFS reprezentujących punkty instalacji do innych źródeł danych. | Root DBFS |
| Wyniki zeszytu interaktywnego | Domyślnie podczas interaktywnego uruchamiania notesu (a nie jako zadania) wyniki są przechowywane na płaszczyźnie sterowania pod kątem wydajności z niektórymi dużymi wynikami przechowywanymi na koncie magazynu obszaru roboczego w ramach subskrypcji Azure. Możesz skonfigurować Azure Databricks do przechowywania wszystkich wyników notesu interaktywnego na koncie magazynu obszaru roboczego. Zobacz Konfigurowanie lokalizacji przechowywania plików dla wyników interaktywnego notatnika. | Aby uzyskać częściowe wyniki na płaszczyźnie sterowania, użyj klucza zarządzanego przez klienta dla usług zarządzanych. Aby uzyskać wyniki na koncie magazynu obszaru roboczego, które można skonfigurować dla całego magazynu wyników, użyj klucza zarządzanego przez klienta dla katalogu głównego systemu plików DBFS. |
| Inne dane systemowe obszaru roboczego na koncie przechowywania obszaru roboczego, do których nie ma dostępu przez system plików DBFS, takie jak wersje notesu. | Konto magazynowe obszaru roboczego w subskrypcji Azure | Root DBFS |
| Dyski zarządzane | Tymczasowy magazyn dysków maszyn wirtualnych w zasobach obliczeniowych, takich jak klastry. Dotyczy tylko zasobów obliczeniowych w klasycznej płaszczyźnie obliczeniowej w ramach subskrypcji Azure. Zobacz Obliczenia bezserwerowe i klucze zarządzane przez klienta. | Dyski zarządzane |
| Model Serving: obrazy kontenerów i artefakty modelu | Płaszczyzna sterowania | Zarządzane usługi |
Aby uzyskać dodatkowe zabezpieczenia dla wystąpienia konta magazynu obszaru roboczego w subskrypcji Azure, możesz włączyć obsługę podwójnego szyfrowania i zapory sieciowej. Zobacz, jak skonfigurować podwójne szyfrowanie dla katalogu głównego systemu plików DBFS i jak włączyć obsługę zapory dla konta magazynu przestrzeni roboczej.
Ważne
Tylko pulpity nawigacyjne usługi AI/BI utworzone po 1 listopada 2024 r. są szyfrowane i zgodne z kluczami zarządzanymi przez klienta.
Tylko przestrzenie Genie utworzone po 10 kwietnia 2025 r. są szyfrowane i zgodne z kluczami zarządzanymi przez klienta.
Bezserwerowe klucze obliczeniowe i klucze zarządzane przez klienta
Databricks SQL Serverless obsługuje:
Klucze i usługi zarządzane przez klienta dla zapytań i historii zapytań w Databricks SQL.
Klucze zarządzane przez klienta dla przechowywania głównego DBFS w wynikach Databricks SQL.
Klucze zarządzane przez klienta dla magazynu dysków zarządzanych nie mają zastosowania do zasobów obliczeniowych serverless. Dyski dla bezserwerowych zasobów obliczeniowych są krótkotrwałe i powiązane z cyklem życia obciążenia bezserwerowego. Gdy zasoby obliczeniowe są zatrzymywane lub skalowane w dół, maszyny wirtualne i ich magazyn są niszczone.
Modelowa obsługa
Zasoby obsługujące model — funkcja obliczeniowa bezserwerowa — zazwyczaj należą do dwóch kategorii:
- Utworzone zasoby: artefakty modelu i metadane wersji są przechowywane w głównej przestrzeni dyskowej obszaru roboczego. Zarówno Model Serving, jak i MLflow korzystają z tego magazynu. Dla tych danych można skonfigurować szyfrowanie kluczy zarządzanych przez klienta.
- Tworzone zasoby przez Azure Databricks: Obrazy kontenerów i artefakty modelu są przechowywane w rejestrze zarządzanym przez Databricks. Klucze zarządzane przez klienta dla usług zarządzanych szyfrują te dane.