Kundhanterade nycklar för kryptering
Den här artikeln innehåller en översikt över kundhanterade nycklar för kryptering.
Översikt över kundhanterade nycklar för kryptering
Vissa tjänster och data stöder tillägg av en kundhanterad nyckel för att skydda och kontrollera åtkomsten till krypterade data. Du kan använda nyckelhanteringstjänsten i molnet för att underhålla en kundhanterad krypteringsnyckel.
Azure Databricks stöder kundhanterade nycklar från Azure Key Vault-valv och Azure Key Vault Managed HSM (maskinvarusäkerhetsmoduler).
Azure Databricks har tre kundhanterade nyckelfunktioner för olika typer av data:
- Kundhanterade nycklar för Azure Managed Disks:
- Kundhanterade nycklar för hanterade tjänster
- Kundhanterade nycklar för DBFS-rot
I följande tabell visas vilka kundhanterade nyckelfunktioner som används för vilka typer av data.
| Typ av data | Plats | Funktion för kundhanterad nyckel |
|---|---|---|
| AI/BI-instrumentpaneler | Kontrollplan | Hanterade tjänster |
| Notebook-källa och metadata | Kontrollplan | Hanterade tjänster |
| Personliga åtkomsttoken (PAT) eller andra autentiseringsuppgifter som används för Git-integrering med Databricks Git-mappar | Kontrollplan | Hanterade tjänster |
| Hemligheter som lagras av API:erna för secret manager | Kontrollplan | Hanterade tjänster |
| Databricks SQL-frågor och frågehistorik | Kontrollplan | Hanterade tjänster |
| Index och metadata för vektorsökning | Serverlöst beräkningsplan | Hanterade tjänster |
| Kundtillgängliga DBFS-rotdata | Din arbetsytas DBFS-rot i ditt arbetsytelagringskonto i din Azure-prenumeration. Detta inkluderar även området FileStore. | DBFS-rot |
| Jobbresultat | Lagringskonto för arbetsyta i din Azure-prenumeration | DBFS-rot |
| Databricks SQL-resultat | Lagringskonto för arbetsyta i din Azure-prenumeration | DBFS-rot |
| MLflow-modeller | Lagringskonto för arbetsyta i din Azure-prenumeration | DBFS-rot |
| Delta Live Table | Om du använder en DBFS-sökväg i DBFS-roten lagras den i ditt lagringskonto för arbetsytan i din Azure-prenumeration. Detta gäller inte för DBFS-sökvägar som representerar monteringspunkter till andra datakällor. | DBFS-rot |
| Interaktiva notebook-resultat | När du kör en notebook-fil interaktivt (i stället för som ett jobb) lagras som standard resultatet i kontrollplanet för prestanda med några stora resultat lagrade i ditt arbetsytelagringskonto i din Azure-prenumeration. Du kan välja att konfigurera Azure Databricks för att lagra alla interaktiva notebook-resultat i ditt lagringskonto för arbetsytan. Se Konfigurera lagringsplatsen för interaktiva notebook-resultat. | För partiella resultat i kontrollplanet använder du en kundhanterad nyckel för hanterade tjänster. För resultat i arbetsytans lagringskonto, som du kan konfigurera för all resultatlagring, använder du en kundhanterad nyckel för DBFS-roten. |
| Andra systemdata för arbetsytor i arbetsytans lagringskonto som inte är tillgängliga via DBFS, till exempel notebook-revisioner. | Lagringskonto för arbetsyta i din Azure-prenumeration | DBFS-rot |
| Hanterade diskar | Tillfällig disklagring av virtuella datorer i beräkningsresurser, till exempel kluster. Gäller endast för beräkningsresurser i det klassiska beräkningsplanet i din Azure-prenumeration. Läs mer i Serverlösa beräkningar och kundhanterade nycklar. | Hanterade diskar |
Om du vill ha ytterligare säkerhet för din instans av arbetsytans lagringskonto i din Azure-prenumeration kan du aktivera dubbel kryptering och brandväggsstöd. Se Konfigurera dubbel kryptering för DBFS-rot och Aktivera brandväggsstöd för ditt lagringskonto för arbetsytan.
Viktigt!
Endast AI/BI-instrumentpaneler som skapats efter den 1 november 2024 är krypterade och kompatibla med kundhanterade nycklar.
Serverlös beräkning och kundhanterade nycklar
Databricks SQL Serverless stöder:
Kundhanterade nycklar för hanterade tjänster för Databricks SQL-frågor och frågehistorik.
Kundhanterade nycklar för DBFS-rotlagring för Databricks SQL-resultat.
Kundhanterade nycklar för hanterad disklagring gäller inte för serverlösa beräkningsresurser. Diskar för serverlösa beräkningsresurser är kortvariga och knutna till livscykeln för den serverlösa arbetsbelastningen. När beräkningsresurser stoppas eller skalas ned förstörs de virtuella datorerna och deras lagring.
Modellservering
Resurser för modellservering, en serverlös beräkningsfunktion, finns vanligtvis i två kategorier:
- Resurser som du skapar för modellen lagras i din arbetsytas DBFS-rot i din arbetsytelagring i ADLSgen2 (för äldre arbetsytor, Blob Storage). Detta inkluderar modellens artefakter och versionsmetadata. Både arbetsytans modellregister och MLflow använder den här lagringen. Du kan konfigurera lagringen så att den använder kundhanterade nycklar.
- Resurser som Azure Databricks skapar direkt åt dig inkluderar modellbilden och den tillfälliga serverlösa beräkningslagringen. Dessa krypteras med Databricks-hanterade nycklar och stöder inte kundhanterade nycklar.
Kundhanterade nycklar för hanterad disklagring gäller inte för serverlösa beräkningsresurser. Diskar för serverlösa beräkningsresurser är kortvariga och knutna till livscykeln för den serverlösa arbetsbelastningen. När beräkningsresurser stoppas eller skalas ned förstörs de virtuella datorerna och deras lagring.