Ключи, управляемые клиентом, для корневого каталога DBFS
Примечание.
Эта функция доступна только в плане Premium.
Чтобы расширить возможности управления данными, можно добавить собственный ключ для защиты доступа к определенным типам данных и управления им. Azure Databricks предлагает два варианта ключей, управляемых клиентом, для разных типов данных и расположений. Их сравнение можно найти в статье Ключи для шифрования, управляемые клиентом.
По умолчанию учетная запись хранения шифруется с помощью ключей, управляемых корпорацией Майкрософт. После добавления ключа, управляемого клиентом для корневого каталога DBFS, Azure Databricks использует ключ для шифрования всех данных в корневом хранилище BLOB-объектов рабочей области.
- Корневое хранилище BLOB-объектов содержит корневой каталог DBFS рабочей области, который является расположением хранилища по умолчанию в DBFS. Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализуется как экземпляр хранилища BLOB-объектов в группе управляемых ресурсов рабочей области Azure Databricks. Корневое хранилище DBFS включает модели MLflow и данные разностной динамической таблицы в корневом каталоге DBFS (но не для подключений DBFS).
- Корневое хранилище BLOB-объектов также включает системные данные рабочей области (не доступные напрямую для вас с помощью путей DBFS), в том числе результаты задания, результаты Databricks SQL, редакции записной книжки и другие данные рабочей области.
Важно!
Эта возможность влияет на корневой каталог DBFS, но не используется для шифрования данных в дополнительных подключениях DBFS, например в дополнительном хранилище BLOB-объектов или Azure Data Lake Storage.
Для их хранения используйте Azure Key Vault. Вы можете хранить ключи в хранилищах Azure Key Vault или управляемых аппаратных модулях безопасности Хранилища ключей Azure (HSM). Дополнительные сведения о хранилищах Ключей Azure и HSM см. в статье "Сведения о ключах Key Vault". Существуют различные инструкции по использованию хранилищ Azure Key Vault и HSM Azure Key Vault.
Хранилище ключей должно находиться в том же клиенте Azure, что и рабочая область Azure Databricks.
Ключи, управляемые клиентом, можно включить с помощью хранилищ Azure Key Vault для хранилища DBFS тремя способами:
- настройка ключей, управляемых клиентом, для DBFS с помощью портала Azure;
- настройка ключей, управляемых клиентом, для DBFS с помощью Azure CLI;
- настройка ключей, управляемых клиентом, для DBFS с помощью PowerShell.
Вы также можете включить управляемые клиентом ключи с помощью HSM Azure Key Vault для хранилища DBFS тремя способами: