使用客户管理的密钥进行加密

本文概述了用于加密的客户管理的密钥。

注意

此功能需要高级计划

用于加密的客户管理的密钥概述

某些服务和数据支持添加客户管理的密钥来帮助保护和控制对已加密数据的访问。 可以使用云中的密钥管理服务来维护客户管理的加密密钥。

Azure Databricks 支持 Azure 密钥保管库和 Azure 密钥保管库所托管 HSM(硬件安全模块)中客户管理的密钥。

Azure Databricks 为不同类型的数据提供三项客户管理的密钥功能:

下表列出了每项客户管理的密钥功能可用于哪些类型的数据。

数据类型 位置 客户管理的密钥功能
AI/BI 仪表板 控制面板 托管服务
笔记本源和元数据 控制面板 托管服务
用于 Git 与 Databricks Git 文件夹集成的个人访问令牌 (PAT) 或其他凭据 控制面板 托管服务
机密管理器 API 存储的机密 控制面板 托管服务
Databricks SQL 查询和查询历史记录 控制面板 托管服务
矢量搜索索引和元数据 无服务器计算平面 托管服务
客户可访问的 DBFS 根数据 你的 Azure 订阅中工作区存储帐户中的工作区 DBFS 根目录。 这还包括 FileStore 区域。 DBFS 根
作业结果 你的 Azure 订阅中的工作区存储帐户 DBFS 根
Databricks SQL 结果 你的 Azure 订阅中的工作区存储帐户 DBFS 根
MLflow 模型 你的 Azure 订阅中的工作区存储帐户 DBFS 根
增量实时表 如果你使用 DBFS 根目录中的 DBFS 路径,则此数据将存储在 Azure 订阅的工作区存储帐户中。 这不适用于表示指向其他数据源的装入点的 DBFS 路径 DBFS 根
交互式笔记本结果 默认情况下,在以交互方式(而不是以作业形式)运行笔记本时,结果将存储在控制平面中,以便在 Azure 订阅的工作区存储帐户中存储某些大型结果时能够保持良好的性能。 你可以选择将 Azure Databricks 配置为在你的工作区存储帐户中存储所有交互式笔记本结果。 请参阅配置交互式笔记本结果的存储位置 对于控制平面中的部分结果,请为托管服务使用客户管理的密钥。 对于工作区存储帐户(你可以为所有结果存储配置)中的结果,请为 DBFS 根目录使用客户管理的密钥。
工作区存储帐户中无法通过 DBFS 访问的其他工作区系统数据,例如笔记本修订。 你的 Azure 订阅中的工作区存储帐户 DBFS 根
托管磁盘 计算资源(如群集)中的 VM 的临时磁盘存储。 仅适用于 Azure 订阅的经典计算平面中的计算资源。 请参阅无服务器计算和客户管理的密钥 托管磁盘

为了提高 Azure 订阅中工作区存储帐户实例的安全性,可以启用双重加密和防火墙支持。 请参阅为 DBFS 根目录配置双重加密为工作区存储帐户启用防火墙支持

重要

只有 2024 年 11 月 1 日之后创建的 AI/BI 仪表板经过加密并与客户管理的密钥兼容。

无服务器计算和客户管理的密钥

Databricks SQL 无服务器支持:

模型服务

模型服务(一种无服务器计算功能)的资源通常分为两类:

  • 为模型创建的资源存储在工作区的 DBFS 根目录中,该目录位于 ADLSgen2 中的工作区存储中(对于旧工作区,则为 Blob 存储)。 这包括模型的项目和版本元数据。 工作区模型注册表和 MLflow 都使用此存储。 可将此存储配置为使用客户管理的密钥。
  • Azure Databricks 直接代表你创建的资源包括模型映像和临时无服务器计算存储。 这些内容使用 Databricks 管理的密钥进行加密,不支持客户管理的密钥。

托管磁盘存储的客户管理的密钥不适用于无服务器计算资源。 无服务器计算资源的磁盘生存期较短,与无服务器工作负载的生命周期相关。 停止或纵向缩减计算资源时,VM 及其存储将被销毁。