Chaves gerenciadas pelo cliente para a raiz do DBFS
Observação
Esse recurso está disponível somente com o plano Premium.
Para ter controle adicional de seus dados, adicione sua própria chave para proteger e controlar o acesso a alguns tipos de dados. O Azure Databricks tem dois recursos de chave gerenciada pelo cliente que envolvem diferentes tipos de dados e locais. Para fazer uma comparação, confira Chaves gerenciadas pelo cliente para criptografia.
Por padrão, a conta de armazenamento é criptografada com chaves gerenciadas pela Microsoft. Depois de adicionar uma chave gerenciada pelo cliente na raiz do DBFS, o Azure Databricks usa sua chave para criptografar todos os dados no Armazenamento de Blobs raiz do workspace.
- O Armazenamento de Blobs raiz contém a raiz do DBFS do workspace, que é o local de armazenamento padrão no DBFS. O DBFS (Databricks File System) é um sistema de arquivos distribuído montado em um workspace do Azure Databricks e disponível em clusters do Azure Databricks. O DBFS é implementado como uma instância do armazenamento de Blobs no grupo de recursos gerenciados do seu workspace do Azure Databricks. O armazenamento raiz do DBFS inclui modelos do MLflow e dados do Delta Live Table na raiz do DBFS (mas não para montagens do DBFS).
- O Armazenamento de Blobs raiz também inclui os dados do sistema do workspace (não diretamente acessíveis para você usando caminhos do DBFS), que inclui resultados de trabalho, resultados do SQL do Databricks, revisões de notebook e alguns outros dados do workspace.
Importante
Esse recurso afeta sua raiz DBFS, mas não é usado para criptografar dados em nenhuma montagem do DBFS adicional, como montagens do DBFS da armazenamento de Blobs ou ADLS adicionais.
Você precisa usar o Azure Key Vault para armazenar as chaves gerenciadas pelo cliente. Você pode armazenar suas chaves em cofres do Azure Key Vault ou em Módulos de Segurança de Hardware (HSMs) gerenciados pelo Azure Key Vault. Para saber mais sobre os cofres do Azure Key Vault e os HSMs, confira Sobre as chaves do Key Vault. Existem diferentes instruções para utilizar os cofres do Azure Key Vault e os HSMs do Azure Key Vault.
O Key Vault deve estar no mesmo locatário do Azure que seu espaço de trabalho do Azure Databricks.
Você pode habilitar as chaves gerenciadas pelo cliente utilizando cofres do Microsoft Azure Key Vault para seu armazenamento DBFS de três maneiras diferentes:
- Configurar chaves gerenciadas pelo cliente para o DBFS usando o portal do Azure
- Configurar chaves gerenciadas pelo cliente para o DBFS usando a CLI do Azure
- Configurar chaves gerenciadas pelo cliente para o DBFS usando o PowerShell
Você também pode habilitar as chaves gerenciadas pelo cliente utilizando os HSMs do Azure Key Vault para seu armazenamento DBFS de três maneiras diferentes: