Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Nota
Este recurso requer o plano Premium.
Esta página fornece uma visão geral das chaves gerenciadas pelo cliente para criptografia. Alguns serviços e dados suportam a adição de uma chave gerenciada pelo cliente para ajudar a proteger e controlar o acesso a dados criptografados. Você pode usar o serviço de gerenciamento de chaves em sua nuvem para manter uma chave de criptografia gerenciada pelo cliente.
O Azure Databricks suporta chaves geridas pelo cliente a partir do Azure Key Vault vaults e do Azure Key Vault Managed HSM (Hardware Security Modules).
Principais casos de uso gerenciados pelo cliente
O Azure Databricks tem três funcionalidades-chave geridas pelo cliente para diferentes tipos de dados:
- Chaves geridas pelo cliente para discos Azure geridos
- Chaves geridas pelo cliente para serviços geridos
- Chaves geridas pelo cliente para o root do DBFS
A tabela a seguir lista quais recursos-chave gerenciados pelo cliente são usados para quais tipos de dados.
| Tipo de dados | Localização | Recurso chave gerenciado pelo cliente |
|---|---|---|
| Painéis de IA/BI | Plano de controlo | Serviços geridos |
| Espaços Genie | Plano de controlo | Serviços geridos |
| Origem e metadados do bloco de notas | Plano de controlo | Serviços geridos |
| Tokens de acesso pessoal (PAT) ou outras credenciais usadas para integração do Git com as pastas Git do Databricks | Plano de controlo | Serviços geridos |
| Segredos armazenados pelas APIs do gerenciador de segredos | Plano de controlo | Serviços geridos |
| Consultas SQL Databricks e histórico de consultas | Plano de controlo | Serviços geridos |
| Pesquisa Vetorial índices e metadados | Plano de computação sem servidor | Serviços geridos |
| Dados do projeto Lakebase Autoscaling | Plano de controlo | Serviços geridos |
| Dados raiz DBFS acessíveis pelo cliente | O seu espaço de trabalho está DBFS root na sua conta de armazenamento do espaço de trabalho na sua subscrição Azure. Isso também inclui a área FileStore. | Raiz do DBFS |
| Resultados do trabalho | Conta de armazenamento do Workspace na sua subscrição do Azure | Raiz do DBFS |
| Resultados do Databricks SQL | Conta de armazenamento do Workspace na sua subscrição do Azure | Raiz do DBFS |
| Modelos MLflow | Conta de armazenamento do Workspace na sua subscrição do Azure | Raiz do DBFS |
| Oleodutos declarativos Lakeflow Spark | Se utilizares um caminho DBFS na raiz do DBFS, este é armazenado na conta de armazenamento do teu espaço de trabalho na subscrição do Azure. Isso não se aplica a caminhos DBFS que representam pontos de montagem para outras fontes de dados. | Raiz do DBFS |
| Resultados do bloco de notas interativo | Por defeito, quando executa um caderno de notas de forma interativa (em vez de como um trabalho), os resultados são armazenados no plano de controlo para desempenho, com alguns resultados grandes armazenados na sua conta de armazenamento do espaço de trabalho na sua subscrição do Azure. Pode optar por configurar o Azure Databricks para armazenar todos os resultados interativos do notebook na sua conta de armazenamento do workspace. Consulte Configurar o local de armazenamento para obter resultados interativos do bloco de anotações. | Para obter resultados parciais no plano de controle, use uma chave gerenciada pelo cliente para serviços gerenciados. Para obter resultados na conta de armazenamento do espaço de trabalho, que pode configurar para todo o armazenamento de resultados, use uma chave gerida pelo cliente para DBFS root. |
| Outros dados do sistema de espaço de trabalho na conta de armazenamento do espaço de trabalho que estão inacessíveis por meio do DBFS, como revisões de bloco de anotações. | Conta de armazenamento do Workspace na sua subscrição do Azure | Raiz do DBFS |
| Discos geridos | Armazenamento temporário em disco de VMs em recursos de computação, como clusters. Aplica-se apenas a recursos de cálculo no plano clássico da tua subscrição do Azure. Veja Computação sem servidor e chaves geridas pelo cliente. | Discos geridos |
| Imagens de contentores para a disponibilização de modelos e artefactos dos modelos | Plano de controlo | Serviços geridos |
Para aumentar a segurança da instância da sua conta de armazenamento de espaço de trabalho na sua assinatura do Azure, pode ativar criptografia dupla e suporte de firewall. Consulte Configurar criptografia dupla para a raiz DBFS e Ativar suporte a firewall para a sua conta de armazenamento do espaço de trabalho.
Importante
Apenas os dashboards de IA/BI criados após 1 de novembro de 2024 são encriptados e compatíveis com chaves geridas pelo cliente.
Apenas os espaços Genie criados após 10 de abril de 2025 são encriptados e compatíveis com chaves geridas pelo cliente.
Computação sem servidor e chaves gerenciadas pelo cliente
Databricks SQL Serverless suporta:
Chaves geridas pelo cliente para serviços geridos para consultas SQL do Databricks e histórico de consultas.
Chaves geridas pelo cliente para armazenamento DBFS raiz para resultados SQL do Databricks.
As chaves gerenciadas pelo cliente para armazenamento em disco gerenciado não se aplicam a recursos de computação sem servidor. Os discos para recursos de computação sem servidor são de curta duração e vinculados ao ciclo de vida da carga de trabalho sem servidor. Quando os recursos de computação são interrompidos ou reduzidos, as VMs e seu armazenamento são destruídos.
Serviço de Modelos
Os recursos para o Model Serving, um recurso de computação sem servidor, geralmente estão em duas categorias:
- Recursos que cria: Artefactos do modelo e metadados de versões são armazenados no armazenamento raiz do seu espaço de trabalho. Tanto o Model Serving como o MLflow utilizam este armazenamento. Pode configurar a encriptação de chaves gerida pelo cliente para estes dados.
- Recursos que Azure Databricks cria: Imagens de contentores e artefactos de modelos são armazenados no registo gerido pelo Databricks. As chaves geridas pelo cliente para serviços geridos encriptam estes dados.