Использование ключей, управляемых клиентом, для шифрования
В этой статье представлен обзор ключей, управляемых клиентом, для шифрования.
Примечание.
Для этой функции требуется план "Премиум".
Общие сведения о ключах, управляемых клиентом, для шифрования
Некоторые службы и данные поддерживают добавление управляемого клиентом ключа для защиты и контроля доступа к зашифрованным данным. Службу управления ключами в облаке можно использовать для обслуживания ключа шифрования, управляемого клиентом.
Azure Databricks поддерживает управляемые клиентом ключи из хранилищ Azure Key Vault и управляемого HSM Azure Key Vault (аппаратные модули безопасности).
Azure Databricks предлагает три функции ключей, управляемых клиентом, для разных типов данных:
- Ключи, управляемые клиентом, для управляемых дисков Azure
- Ключи, управляемые клиентом, для управляемых служб:
- Ключи, управляемые клиентом, для корневого каталога DBFS
В следующей таблице указаны функции, ключей, управляемых клиентом, которые используются для разных типов данных.
| Тип данных | Расположение | Функция ключа, управляемого клиентом |
|---|---|---|
| Источник и метаданные записной книжки | Плоскость управления | Управляемые службы |
| Личные маркеры доступа (PAT) или другие учетные данные, используемые для интеграции Git с папками Databricks Git | Плоскость управления | Управляемые службы |
| Секреты, хранимые API диспетчера секретов | Плоскость управления | Управляемые службы |
| Журнал запросов и запросы SQL Databricks | Плоскость управления | Управляемые службы |
| Данные корня DBFS, доступные для клиентов | Корневой каталог DBFS рабочей области в корневом хранилище DBFS рабочей области в подписке Azure. Это также включает область FileStore. | корня DBFS. |
| Результаты задания | Экземпляр корневого хранилища DBFS рабочей области в подписке Azure | корня DBFS. |
| Результаты SQL Databricks | Экземпляр корневого хранилища DBFS рабочей области в подписке Azure | корня DBFS. |
| Модели MLflow | Экземпляр корневого хранилища DBFS рабочей области в подписке Azure | корня DBFS. |
| Разностная динамическая таблица | Если вы используете путь DBFS в корневом каталоге DBFS, он хранится в экземпляре корневого хранилища DBFS рабочей области в подписке Azure. Это не относится к путям DBFS, которые представляют точки подключения к другим источникам данных. | корня DBFS. |
| Результаты интерактивной записной книжки | По умолчанию при интерактивном запуске записной книжки (а не в качестве задания) результаты хранятся в плоскости управления для повышения производительности с некоторыми большими результатами, хранящимися в корневом хранилище DBFS рабочей области в подписке Azure. Вы можете настроить Azure Databricks для хранения всех результатов интерактивной записной книжки в подписке Azure. | Для частичных результатов на уровне управления используйте ключ, управляемый клиентом, для управляемых служб. Для получения результатов в корневом хранилище DBFS, которое можно настроить для всего хранилища результатов, используйте управляемый клиентом ключ для корневого каталога DBFS. |
| Другие системные данные рабочей области в корневом хранилище DBFS, недоступном через DBFS, например редакции записной книжки. | Корневое хранилище DBFS рабочей области в подписке Azure | корня DBFS. |
| Управляемые диски | Временное хранилище дисков виртуальных машин в вычислительных ресурсах, таких как кластеры. Применяется только к вычислительным ресурсам в классической плоскости вычислений в подписке Azure. См. статью Бессерверные вычисления и ключи, управляемые клиентом. | Управляемые диски |
Для дополнительной безопасности для экземпляра корневого хранилища DBFS рабочей области в подписке Azure можно включить двойное шифрование для корневого каталога DBFS.
Бессерверные вычислительные и управляемые клиентом ключи
Databricks SQL Serverless поддерживает:
Управляемые клиентом ключи для управляемых служб для запросов SQL Databricks и журнала запросов.
Управляемые клиентом ключи для корневого хранилища DBFS для результатов Databricks SQL.
Ключи, управляемые клиентом для управляемого дискового хранилища , не применяются к бессерверным вычислительным ресурсам. Диски для бессерверных вычислительных ресурсов являются короткими и привязаны к жизненному циклу бессерверной рабочей нагрузки. При остановке или уменьшении масштаба вычислительных ресурсов виртуальные машины и их хранилище уничтожаются.
Обслуживание моделей
Ресурсы для обслуживания моделей, бессерверная функция вычислений, обычно находятся в двух категориях:
- Ресурсы, созданные для модели, хранятся в корневом каталоге DBFS рабочей области в хранилище рабочей области в ADLSgen2 (для старых рабочих областей, хранилища BLOB-объектов). Сюда входят артефакты модели и метаданные версии. Реестр моделей рабочей области и MLflow используют это хранилище. Это хранилище можно настроить для использования ключей, управляемых клиентом.
- Ресурсы, создаваемые Azure Databricks непосредственно от вашего имени, включают образ модели и эфемерное бессерверное хранилище вычислений. Они шифруются с помощью ключей, управляемых Databricks, и не поддерживают управляемые клиентом ключи.
Ключи, управляемые клиентом для управляемого дискового хранилища, не применяются к бессерверным вычислительным ресурсам. Диски для бессерверных вычислительных ресурсов являются короткими и привязаны к жизненному циклу бессерверной рабочей нагрузки. При остановке или уменьшении масштаба вычислительных ресурсов виртуальные машины и их хранилище уничтожаются.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по