Chaves geridas pelo cliente para a raiz do DBFS

Nota

Esta funcionalidade está disponível apenas no plano Premium.

Para um controlo adicional dos seus dados, pode adicionar a sua própria chave para proteger e controlar o acesso a alguns tipos de dados. O Azure Databricks tem dois recursos principais gerenciados pelo cliente que envolvem diferentes tipos de dados e locais. Para obter uma comparação, consulte Chaves gerenciadas pelo cliente para criptografia.

Por predefinição, a conta de armazenamento é encriptada com chaves geridas pela Microsoft. Depois de adicionar uma chave gerida pelo cliente para a raiz do DBFS, o Azure Databricks utiliza a sua chave para encriptar todos os dados no Armazenamento de Blobs raiz da área de trabalho.

• A conta de armazenamento do espaço de trabalho contém a raiz DBFS do espaço de trabalho, que é o local padrão no DBFS. O Sistema de Ficheiros do Databricks (DBFS) é um sistema de ficheiros distribuído montado numa área de trabalho do Azure Databricks e disponível em clusters Azure Databricks. O DBFS é implementado como uma instância de armazenamento de Blob no grupo de recursos gerenciados do espaço de trabalho do Azure Databricks. A conta de armazenamento do espaço de trabalho inclui modelos MLflow e dados Delta Live Table na raiz do DBFS (mas não para montagens DBFS).
• A conta de armazenamento do espaço de trabalho também inclui os dados do sistema do espaço de trabalho (não diretamente acessíveis para você usando caminhos DBFS), que incluem resultados do trabalho, resultados do Databricks SQL, revisões do bloco de anotações e alguns outros dados do espaço de trabalho.

Importante

Esse recurso afeta a raiz do DBFS, mas não é usado para criptografar dados em montagens adicionais do DBFS, como montagens DBFS de armazenamento adicional de Blob ou ADLS. As montagens são um padrão de acesso herdado. A Databricks recomenda o uso do Unity Catalog para gerenciar todo o acesso aos dados. Consulte Conectar-se ao armazenamento de objetos na nuvem usando o Unity Catalog.

Tem de utilizar o Azure Key Vault para armazenar as chaves geridas pelo cliente. Você pode armazenar suas chaves nos cofres do Azure Key Vault ou nos HSMs (Managed Hardware Security Modules) do Azure Key Vault. Para saber mais sobre os cofres e HSMs do Azure Key Vault, consulte Sobre chaves do Key Vault. Há instruções diferentes para usar os cofres do Azure Key Vault e os HSMs do Azure Key Vault.

O Cofre da Chave deve estar no mesmo locatário do Azure que seu espaço de trabalho do Azure Databricks.

Você pode habilitar chaves gerenciadas pelo cliente usando os cofres do Cofre de Chaves do Azure para sua conta de armazenamento de espaço de trabalho de três maneiras diferentes:

• Configurar chaves geridas pelo cliente para DBFS através do portal do Azure
• Configurar chaves geridas pelo cliente para DBFS através do CLI do Azure
• Configurar chaves geridas pelo cliente para DBFS através do PowerShell

Você também pode habilitar chaves gerenciadas pelo cliente usando HSMs do Azure Key Vault para sua conta de armazenamento de espaço de trabalho de três maneiras diferentes:

• Configurar chaves gerenciadas pelo cliente do HSM para DBFS usando o portal do Azure
• Configurar chaves gerenciadas pelo cliente HSM para DBFS usando a CLI do Azure
• Configurar chaves gerenciadas pelo cliente HSM para DBFS usando o PowerShell