托管服务的客户管理的密钥

注意

此功能需要高级计划。

为了进一步控制数据，你可以添加自己的密钥来保护和控制对某些数据类型的访问。 Azure Databricks 针对不同类型的数据和位置提供了三项客户管理的密钥功能。 若要比较这两项功能，请参阅用于加密的客户管理的密钥。

Azure Databricks 控制平面中的托管服务数据将静态加密。 可以为托管服务添加客户管理的密钥，以帮助保护和控制对以下加密数据的访问：

• Azure Databricks 控制平面中的笔记本源
• 笔记本结果以交互方式（不是作为作业）运行，存储在控制平面中。 默认情况下，较大的结果也存储在工作区根存储桶中。 你可以将 Azure Databricks 配置为将所有交互式笔记本结果存储在云帐户中。
• 机密管理器 API 存储的机密。
• Databricks SQL 查询和查询历史记录。
• 用于设置 Git 与 Databricks Git 文件夹集成的个人访问令牌 (PAT) 或其他凭据。

为工作区的托管服务添加客户管理的密钥加密后，针对用于对工作区托管服务数据的未来写入操作进行加密的密钥来说，Azure Databricks 将使用你的密钥来控制对其的访问。 现有数据未重新加密。 数据加密密钥缓存在内存中，用于多个读写操作，并定期从内存中逐出。 针对这些数据的新请求需要向云服务的密钥管理系统发出另一个请求。 如果删除或撤销密钥，受保护数据的读取或写入操作将会在缓存时间间隔结束时失败。 你可以之后轮换（更新）客户管理的密钥。

重要

如果轮换密钥，则必须保留旧密钥 24 小时。

此功能不会对存储在控制平面之外的数据进行加密。 若要加密工作区 DBFS 根存储中的数据，请参阅 DBFS 根的客户管理的密钥。

你可以使用 Azure 密钥保管库或 Azure 密钥保管库 HSM 启用客户管理的密钥：

• 为托管服务启用客户管理的密钥
• 为托管服务启用 HSM 客户管理的密钥