Şifreleme için müşteri tarafından yönetilen anahtarları kullanma
Bu makalede, şifreleme için müşteri tarafından yönetilen anahtarlara genel bir bakış sağlanır.
Not
Bu özellik Premium planı gerektirir.
Şifreleme için müşteri tarafından yönetilen anahtarlara genel bakış
Bazı hizmetler ve veriler, şifrelenmiş verilere erişimi korumaya ve denetlemeye yardımcı olmak için müşteri tarafından yönetilen anahtar eklemeyi destekler. Müşteri tarafından yönetilen bir şifreleme anahtarını korumak için bulutunuzda anahtar yönetimi hizmetini kullanabilirsiniz.
Azure Databricks, Azure Key Vault kasalarından ve Azure Key Vault Yönetilen HSM'den (Donanım Güvenlik Modülleri) müşteri tarafından yönetilen anahtarları destekler.
Azure Databricks'in farklı veri türleri için müşteri tarafından yönetilen üç temel özelliği vardır:
- Azure yönetilen diskleri için müşteri tarafından yönetilen anahtarlar
- Yönetilen hizmetler için müşteri tarafından yönetilen anahtarlar
- DBFS kökü için müşteri tarafından yönetilen anahtarlar
Aşağıdaki tabloda, hangi veri türleri için hangi müşteri tarafından yönetilen anahtar özelliklerin kullanıldığı listelenmiştir.
| Veri türü | Konum | Müşteri tarafından yönetilen anahtar özelliği |
|---|---|---|
| AI/BI panoları | Kontrol düzlemi | Yönetilen hizmetler |
| Not defteri kaynağı ve meta verileri | Kontrol düzlemi | Yönetilen hizmetler |
| Databricks Git klasörleriyle Git tümleştirmesi için kullanılan kişisel erişim belirteçleri (PAT) veya diğer kimlik bilgileri | Kontrol düzlemi | Yönetilen hizmetler |
| Gizli dizi yöneticisi API'leri tarafından depolanan gizli diziler | Kontrol düzlemi | Yönetilen hizmetler |
| Databricks SQL sorguları ve sorgu geçmişi | Kontrol düzlemi | Yönetilen hizmetler |
| Vektör Arama dizinleri ve meta verileri | Sunucusuz işlem düzlemi | Yönetilen hizmetler |
| Müşteri tarafından erişilebilen DBFS kök verileri | Azure aboneliğinizdeki çalışma alanı depolama hesabınızdaki çalışma alanınızın DBFS kökü . Bu, FileStore alanını da içerir. | DBFS kökü |
| İş sonuçları | Azure aboneliğinizdeki çalışma alanı depolama hesabı | DBFS kökü |
| Databricks SQL sonuçları | Azure aboneliğinizdeki çalışma alanı depolama hesabı | DBFS kökü |
| MLflow Modelleri | Azure aboneliğinizdeki çalışma alanı depolama hesabı | DBFS kökü |
| Delta Live Tablosu | DBFS kökünüzde bir DBFS yolu kullanıyorsanız bu, Azure aboneliğinizdeki çalışma alanı depolama hesabınızda depolanır. Bu, diğer veri kaynaklarına bağlama noktalarını temsil eden DBFS yolları için geçerli değildir. | DBFS kökü |
| Etkileşimli not defteri sonuçları | Varsayılan olarak, bir not defterini etkileşimli olarak çalıştırdığınızda (iş olarak değil) sonuçlar, azure aboneliğinizdeki çalışma alanı depolama hesabınızda depolanan bazı büyük sonuçlarla performans için denetim düzleminde depolanır. Tüm etkileşimli not defteri sonuçlarını çalışma alanı depolama hesabınızda depolamak için Azure Databricks'i yapılandırmayı seçebilirsiniz. Bkz . Etkileşimli not defteri sonuçları için depolama konumunu yapılandırma. | Denetim düzleminde kısmi sonuçlar için yönetilen hizmetler için müşteri tarafından yönetilen bir anahtar kullanın. Tüm sonuç depolaması için yapılandırabileceğiniz çalışma alanı depolama hesabındaki sonuçlar için DBFS kökü için müşteri tarafından yönetilen bir anahtar kullanın. |
| Not defteri düzeltmeleri gibi DBFS aracılığıyla erişilemeyen çalışma alanı depolama hesabındaki diğer çalışma alanı sistem verileri. | Azure aboneliğinizdeki çalışma alanı depolama hesabı | DBFS kökü |
| Yönetilen diskler | Kümeler gibi işlem kaynaklarındaki VM'lerin geçici disk depolaması. Yalnızca Azure aboneliğinizdeki klasik işlem düzlemindeki işlem kaynakları için geçerlidir. Bkz. Sunucusuz işlem ve müşteri tarafından yönetilen anahtarlar. | Yönetilen diskler |
Azure aboneliğinizdeki çalışma alanı depolama hesabı örneğiniz için ek güvenlik için çift şifrelemeyi ve güvenlik duvarı desteğini etkinleştirebilirsiniz. Bkz . DBFS kökü için çift şifrelemeyi yapılandırma ve Çalışma alanı depolama hesabınız için güvenlik duvarı desteğini etkinleştirme.
Önemli
Yalnızca 1 Kasım 2024'den sonra oluşturulan yapay zeka/BI panoları şifrelenir ve müşteri tarafından yönetilen anahtarlarla uyumludur.
Sunucusuz işlem ve müşteri tarafından yönetilen anahtarlar
Databricks SQL Sunucusuz destekler:
Databricks SQL sorguları ve sorgu geçmişi için yönetilen hizmetler için müşteri tarafından yönetilen anahtarlar.
Databricks SQL sonuçları için DBFS kök depolaması için müşteri tarafından yönetilen anahtarlar.
Yönetilen disk depolama için müşteri tarafından yönetilen anahtarlar sunucusuz işlem kaynakları için geçerli değildir. Sunucusuz işlem kaynakları için diskler kısa sürelidir ve sunucusuz iş yükünün yaşam döngüsüne bağlıdır. İşlem kaynakları durdurulduğunda veya ölçeklendirildiğinde VM'ler ve bunların depolama alanı yok edilir.
Model Sunma
Sunucusuz bir işlem özelliği olan Model Sunma kaynakları genellikle iki kategoridedir:
- Model için oluşturduğunuz kaynaklar ADLSgen2'deki çalışma alanı depolama alanınızda (eski çalışma alanları için Blob depolama) çalışma alanınızın DBFS kökünde depolanır. Buna modelin yapıtları ve sürüm meta verileri dahildir. Hem çalışma alanı modeli kayıt defteri hem de MLflow bu depolama alanını kullanır. Bu depolama alanını müşteri tarafından yönetilen anahtarları kullanacak şekilde yapılandırabilirsiniz.
- Azure Databricks'in sizin yerinize doğrudan oluşturduğu kaynaklar, model görüntüsünü ve kısa süreli sunucusuz işlem depolama alanını içerir. Bunlar Databricks tarafından yönetilen anahtarlarla şifrelenir ve müşteri tarafından yönetilen anahtarları desteklemez.
Yönetilen disk depolama için müşteri tarafından yönetilen anahtarlar sunucusuz işlem kaynakları için geçerli değildir . Sunucusuz işlem kaynakları için diskler kısa sürelidir ve sunucusuz iş yükünün yaşam döngüsüne bağlıdır. İşlem kaynakları durdurulduğunda veya ölçeklendirildiğinde VM'ler ve bunların depolama alanı yok edilir.