Chaves geridas pelo cliente para a raiz do DBFS

Nota

Esta funcionalidade está disponível apenas no plano Premium.

Para um controlo adicional dos seus dados, pode adicionar a sua própria chave para proteger e controlar o acesso a alguns tipos de dados. O Azure Databricks tem dois recursos principais gerenciados pelo cliente que envolvem diferentes tipos de dados e locais. Para obter uma comparação, consulte Chaves gerenciadas pelo cliente para criptografia.

Por predefinição, a conta de armazenamento é encriptada com chaves geridas pela Microsoft. Depois de adicionar uma chave gerida pelo cliente para a raiz do DBFS, o Azure Databricks utiliza a sua chave para encriptar todos os dados no Armazenamento de Blobs raiz da área de trabalho.

• O armazenamento de Blob raiz contém a raiz DBFS do seu espaço de trabalho, que é o local de armazenamento padrão no DBFS. O Sistema de Ficheiros do Databricks (DBFS) é um sistema de ficheiros distribuído montado numa área de trabalho do Azure Databricks e disponível em clusters Azure Databricks. O DBFS é implementado como uma instância de armazenamento de Blob no grupo de recursos gerenciados do espaço de trabalho do Azure Databricks. O armazenamento raiz DBFS inclui modelos MLflow e dados Delta Live Table na raiz DBFS (mas não para montagens DBFS).
• O armazenamento de Blob raiz também inclui os dados do sistema do seu espaço de trabalho (não diretamente acessíveis para você usando caminhos DBFS), que incluem resultados de trabalho, resultados do Databricks SQL, revisões do bloco de anotações e alguns outros dados do espaço de trabalho.

Importante

Esse recurso afeta a raiz do DBFS, mas não é usado para criptografar dados em montagens adicionais do DBFS, como montagens DBFS de armazenamento adicional de Blob ou ADLS.

Tem de utilizar o Azure Key Vault para armazenar as chaves geridas pelo cliente. Você pode armazenar suas chaves nos cofres do Azure Key Vault ou nos HSMs (Managed Hardware Security Modules) do Azure Key Vault. Para saber mais sobre os cofres e HSMs do Azure Key Vault, consulte Sobre chaves do Key Vault. Há instruções diferentes para usar os cofres do Azure Key Vault e os HSMs do Azure Key Vault.

O Cofre da Chave deve estar no mesmo locatário do Azure que seu espaço de trabalho do Azure Databricks.

Você pode habilitar chaves gerenciadas pelo cliente usando os cofres do Azure Key Vault para seu armazenamento DBFS de três maneiras diferentes:

• Configurar chaves geridas pelo cliente para DBFS através do portal do Azure
• Configurar chaves geridas pelo cliente para DBFS através do CLI do Azure
• Configurar chaves geridas pelo cliente para DBFS através do PowerShell

Você também pode habilitar chaves gerenciadas pelo cliente usando HSMs do Azure Key Vault para seu armazenamento DBFS de três maneiras diferentes:

• Configurar chaves gerenciadas pelo cliente do HSM para DBFS usando o portal do Azure
• Configurar chaves gerenciadas pelo cliente HSM para DBFS usando a CLI do Azure
• Configurar chaves gerenciadas pelo cliente HSM para DBFS usando o PowerShell