Klucze zarządzane przez klienta na potrzeby szyfrowania
Ten artykuł zawiera omówienie kluczy zarządzanych przez klienta na potrzeby szyfrowania.
Uwaga
Ta funkcja wymaga planu Premium.
Omówienie kluczy zarządzanych przez klienta na potrzeby szyfrowania
Niektóre usługi i dane obsługują dodawanie klucza zarządzanego przez klienta, aby chronić i kontrolować dostęp do zaszyfrowanych danych. Usługę zarządzania kluczami w chmurze można użyć do obsługi klucza szyfrowania zarządzanego przez klienta.
Usługa Azure Databricks obsługuje klucze zarządzane przez klienta z magazynów usługi Azure Key Vault i zarządzane moduły HSM usługi Azure Key Vault (sprzętowe moduły zabezpieczeń).
Usługa Azure Databricks ma trzy kluczowe funkcje zarządzane przez klienta dla różnych typów danych:
- Klucze zarządzane przez klienta dla dysków zarządzanych platformy Azure
- Zarządzane przez klienta klucze do usług zarządzanych
- Klucze zarządzane przez klienta dla katalogu głównego DBFS
W poniższej tabeli wymieniono funkcje klucza zarządzanego przez klienta, dla których typów danych są używane.
| Typ danych | Lokalizacja | Funkcja klucza zarządzanego przez klienta |
|---|---|---|
| Źródło i metadane notesu | Płaszczyzna sterowania | Usługi zarządzane |
| Osobiste tokeny dostępu (PAT) lub inne poświadczenia używane do integracji usługi Git z usługą Databricks Repos | Płaszczyzna sterowania | Usługi zarządzane |
| Wpisy tajne przechowywane przez interfejsy API menedżera wpisów tajnych | Płaszczyzna sterowania | Usługi zarządzane |
| Zapytania SQL i historia zapytań usługi Databricks | Płaszczyzna sterowania | Usługi zarządzane |
| Dane główne systemu DBFS dostępne dla klienta | Katalog główny DBFS obszaru roboczego w głównym magazynie DBFS obszaru roboczego w ramach subskrypcji platformy Azure. Obejmuje to również obszar FileStore. | Katalog główny systemu plików DBFS. |
| Wyniki zadania | Główne wystąpienie magazynu DBFS obszaru roboczego w ramach subskrypcji platformy Azure | Katalog główny systemu plików DBFS. |
| Wyniki usługi Databricks SQL | Główne wystąpienie magazynu DBFS obszaru roboczego w ramach subskrypcji platformy Azure | Katalog główny systemu plików DBFS. |
| Modele MLflow | Główne wystąpienie magazynu DBFS obszaru roboczego w ramach subskrypcji platformy Azure | Katalog główny systemu plików DBFS. |
| Tabela delta Live | Jeśli używasz ścieżki DBFS w katalogu głównym systemu plików DBFS, jest on przechowywany w głównym wystąpieniu magazynu DBFS obszaru roboczego w ramach subskrypcji platformy Azure. Nie dotyczy to ścieżek systemu plików DBFS reprezentujących punkty instalacji do innych źródeł danych. | Katalog główny systemu plików DBFS. |
| Wyniki notesu interaktywnego | Domyślnie podczas interaktywnego uruchamiania notesu (a nie jako zadania) wyniki są przechowywane na płaszczyźnie sterowania pod kątem wydajności z dużymi wynikami przechowywanymi w głównym magazynie DBFS obszaru roboczego w ramach subskrypcji platformy Azure. Możesz skonfigurować usługę Azure Databricks do przechowywania wszystkich wyników notesu interaktywnego w ramach subskrypcji platformy Azure. | Aby uzyskać częściowe wyniki na płaszczyźnie sterowania, użyj klucza zarządzanego przez klienta dla usług zarządzanych. Aby uzyskać wyniki w głównym magazynie DBFS, który można skonfigurować dla całego magazynu wyników, użyj klucza zarządzanego przez klienta dla głównego systemu plików DBFS. |
| Inne dane systemowe obszaru roboczego w głównym magazynie DBFS, który jest niedostępny za pośrednictwem systemu plików DBFS, takich jak poprawki notesu. | Główny magazyn DBFS obszaru roboczego w ramach subskrypcji platformy Azure | Katalog główny systemu plików DBFS. |
| Dyski zarządzane | Tymczasowy magazyn dysków maszyn wirtualnych w zasobach obliczeniowych, takich jak klastry. Dotyczy tylko zasobów obliczeniowych w klasycznej płaszczyźnie obliczeniowej w ramach subskrypcji platformy Azure. Zobacz Obliczenia bezserwerowe i klucze zarządzane przez klienta. | Dyski zarządzane |
Aby uzyskać dodatkowe zabezpieczenia głównego wystąpienia magazynu DBFS obszaru roboczego w ramach subskrypcji platformy Azure, możesz włączyć podwójne szyfrowanie dla katalogu głównego systemu plików DBFS.
Bezserwerowe klucze obliczeniowe i klucze zarządzane przez klienta
Usługa SQL Serverless usługi Databricks obsługuje:
Klucze zarządzane przez klienta dla usług zarządzanych dla zapytań SQL usługi Databricks i historii zapytań.
Klucze zarządzane przez klienta dla głównego magazynu DBFS dla wyników sql usługi Databricks.
Klucze zarządzane przez klienta dla magazynu dysków zarządzanych nie mają zastosowania do zasobów obliczeniowych bezserwerowych. Dyski dla bezserwerowych zasobów obliczeniowych są krótkotrwałe i powiązane z cyklem życia obciążenia bezserwerowego. Gdy zasoby obliczeniowe są zatrzymywane lub skalowane w dół, maszyny wirtualne i ich magazyn są niszczone.
Obsługa modelu
Zasoby obsługujące model — funkcja obliczeniowa bezserwerowa — zazwyczaj należą do dwóch kategorii:
- Zasoby tworzone dla modelu są przechowywane w katalogu głównym systemu plików DBFS obszaru roboczego w magazynie obszaru roboczego w usłudze ADLSgen2 (w przypadku starszych obszarów roboczych, usługi Blob Storage). Obejmuje to artefakty modelu i metadane wersji. Zarówno rejestr modelu obszaru roboczego, jak i MLflow używają tego magazynu. Ten magazyn można skonfigurować tak, aby używał kluczy zarządzanych przez klienta.
- Zasoby tworzone przez usługę Azure Databricks bezpośrednio w Twoim imieniu obejmują obraz modelu i efemeryczny magazyn obliczeniowy bezserwerowy. Są one szyfrowane przy użyciu kluczy zarządzanych przez usługę Databricks i nie obsługują kluczy zarządzanych przez klienta.
Klucze zarządzane przez klienta dla magazynudysków zarządzanych nie mają zastosowania do zasobów obliczeniowych bezserwerowych. Dyski dla bezserwerowych zasobów obliczeniowych są krótkotrwałe i powiązane z cyklem życia obciążenia bezserwerowego. Gdy zasoby obliczeniowe są zatrzymywane lub skalowane w dół, maszyny wirtualne i ich magazyn są niszczone.