DBFS 根的客户管理的密钥
注意
此功能仅在高级计划中提供。
为了进一步控制数据,你可以添加自己的密钥来保护和控制对某些数据类型的访问。 Azure Databricks 有两项客户管理的密钥功能,涉及不同类型的数据和位置。 有关比较,请参阅使用客户管理的密钥进行加密。
默认情况下,存储帐户使用 Microsoft 管理的密钥进行加密。 为 DBFS 根添加客户管理的密钥后,Azure Databricks 使用密钥加密工作区根 Blob 存储中的所有数据。
- 工作区存储帐户包含工作区的 DBFS 根,这是 DBFS 中的默认位置。 Databricks 文件系统 (DBFS) 是一个装载到 Azure Databricks 工作区的分布式文件系统,可以在 Azure Databricks 群集上使用。 DBFS 在 Azure Databricks 工作区的受管理资源组中实现为 Blob 存储实例。 工作区存储帐户包括 DBFS 根中的 MLflow 模型和增量实时表数据(但不适用于 DBFS 装载)。
- 工作区存储帐户还包括工作区的系统数据(不能使用 DBFS 路径直接访问),其中包括作业结果、Databricks SQL 结果、笔记本修订和其他一些工作区数据。
重要
此功能会影响 DBFS 根,但不会用于加密任何其他 DBFS 装载(例如其他 Blob 或 ADLS 存储的 DBFS 装载)上的数据。 装载是旧的访问模式。 Databricks 建议使用 Unity Catalog 来管理所有数据访问权限。 请参阅 使用 Unity 目录连接到云对象存储和服务。
必须使用 Azure Key Vault 来存储客户管理的密钥。 可以将密钥存储在 Azure Key Vault 保管库或 Azure Key Vault 托管硬件安全模块 (HSM) 中。 若要详细了解 Azure Key Vault 保管库和 HSM,请参阅关于 Key Vault 密钥。 Azure Key Vault 保管库和 Azure Key Vault HSM 有不同的使用说明。
Key Vault 必须与你的 Azure Databricks 工作区位于同一 Azure 租户中。
可以使用 Azure Key Vault 保管库通过三种不同的方式为工作区存储帐户启用客户管理的密钥:
还可以使用 Azure Key Vault HSM 通过三种不同的方式为工作区存储帐户启用客户管理的密钥: