Использование ключей, управляемых клиентом, для шифрования
В этой статье представлен обзор ключей, управляемых клиентом, для шифрования.
Примечание.
Для этой функции требуется план "Премиум".
Общие сведения о ключах, управляемых клиентом, для шифрования
Некоторые службы и данные поддерживают добавление управляемого клиентом ключа для защиты и контроля доступа к зашифрованным данным. Службу управления ключами в облаке можно использовать для обслуживания ключа шифрования, управляемого клиентом.
Azure Databricks поддерживает управляемые клиентом ключи из хранилищ Azure Key Vault и управляемого HSM Azure Key Vault (аппаратные модули безопасности).
Azure Databricks предлагает три функции ключей, управляемых клиентом, для разных типов данных:
- Ключи, управляемые клиентом, для управляемых дисков Azure
- Ключи, управляемые клиентом, для управляемых служб:
- Ключи, управляемые клиентом, для корневого каталога DBFS
В следующей таблице указаны функции, ключей, управляемых клиентом, которые используются для разных типов данных.
| Тип данных | Расположение | Функция ключа, управляемого клиентом |
|---|---|---|
| Панели мониторинга ИИ/BI | Уровень управления | Управляемые службы |
| Источник и метаданные записной книжки | Уровень управления | Управляемые службы |
| Личные маркеры доступа (PAT) или другие учетные данные, используемые для интеграции Git с папками Databricks Git | Уровень управления | Управляемые службы |
| Секреты, хранимые API диспетчера секретов | Уровень управления | Управляемые службы |
| Журнал запросов и запросы SQL Databricks | Уровень управления | Управляемые службы |
| Индексы и метаданные векторного поиска | Бессерверная плоскость вычислений | Управляемые службы |
| Данные корня DBFS, доступные для клиентов | Корневой каталог DBFS рабочей области в учетной записи хранения рабочей области в подписке Azure. Это также включает область FileStore. | корня DBFS. |
| Результаты задания | Учетная запись хранения рабочей области в подписке Azure | корня DBFS. |
| Результаты SQL Databricks | Учетная запись хранения рабочей области в подписке Azure | корня DBFS. |
| Модели MLflow | Учетная запись хранения рабочей области в подписке Azure | корня DBFS. |
| Разностная динамическая таблица | Если вы используете путь DBFS в корневом каталоге DBFS, это хранится в учетной записи хранения рабочей области в подписке Azure. Это не относится к путям DBFS, которые представляют точки подключения к другим источникам данных. | корня DBFS. |
| Результаты интерактивной записной книжки | По умолчанию при интерактивном запуске записной книжки (а не в качестве задания) результаты хранятся в плоскости управления для повышения производительности с некоторыми большими результатами, хранящимися в учетной записи хранения рабочей области в подписке Azure. Вы можете настроить Azure Databricks для хранения всех интерактивных записных книжек в учетной записи хранения рабочей области. Сведения о настройке расположения хранилища для результатов интерактивной записной книжки. | Для частичных результатов на уровне управления используйте ключ, управляемый клиентом, для управляемых служб. Для получения результатов в учетной записи хранения рабочей области, которую можно настроить для всего хранилища результатов, используйте управляемый клиентом ключ для корневого каталога DBFS. |
| Другие системные данные рабочей области в учетной записи хранения рабочей области, недоступной через DBFS, например редакции записной книжки. | Учетная запись хранения рабочей области в подписке Azure | корня DBFS. |
| Управляемые диски | Временное хранилище дисков виртуальных машин в вычислительных ресурсах, таких как кластеры. Применяется только к вычислительным ресурсам в классической плоскости вычислений в подписке Azure. См. статью Бессерверные вычисления и ключи, управляемые клиентом. | Управляемые диски |
Для дополнительной безопасности для экземпляра учетной записи хранения рабочей области в подписке Azure можно включить двойное шифрование и поддержку брандмауэра. См. раздел "Настройка двойного шифрования для корневого каталога DBFS" и включение поддержки брандмауэра для учетной записи хранения рабочей области.
Внимание
Только панели мониторинга AI/BI, созданные после 1 ноября 2024 г., шифруются и совместимы с ключами, управляемыми клиентом.
Бессерверные вычислительные и управляемые клиентом ключи
Databricks SQL Serverless поддерживает:
Управляемые клиентом ключи для управляемых служб для запросов SQL Databricks и журнала запросов.
Управляемые клиентом ключи для корневого хранилища DBFS для результатов Databricks SQL.
Ключи, управляемые клиентом для управляемого дискового хранилища , не применяются к бессерверным вычислительным ресурсам. Диски для бессерверных вычислительных ресурсов являются короткими и привязаны к жизненному циклу бессерверной рабочей нагрузки. При остановке или уменьшении масштаба вычислительных ресурсов виртуальные машины и их хранилище уничтожаются.
Обслуживание моделей
Ресурсы для обслуживания моделей, бессерверная функция вычислений, обычно находятся в двух категориях:
- Ресурсы, созданные для модели, хранятся в корневом каталоге DBFS рабочей области в хранилище рабочей области в ADLSgen2 (для старых рабочих областей, хранилища BLOB-объектов). Сюда входят артефакты модели и метаданные версии. Реестр моделей рабочей области и MLflow используют это хранилище. Это хранилище можно настроить для использования ключей, управляемых клиентом.
- Ресурсы, создаваемые Azure Databricks непосредственно от вашего имени, включают образ модели и эфемерное бессерверное хранилище вычислений. Они шифруются с помощью ключей, управляемых Databricks, и не поддерживают управляемые клиентом ключи.
Ключи, управляемые клиентом для управляемого дискового хранилища, не применяются к бессерверным вычислительным ресурсам. Диски для бессерверных вычислительных ресурсов являются короткими и привязаны к жизненному циклу бессерверной рабочей нагрузки. При остановке или уменьшении масштаба вычислительных ресурсов виртуальные машины и их хранилище уничтожаются.