受控服務的客戶自控金鑰

注意

此功能需要 進階版 方案。

若要進一步控制您的資料，您可以新增自己的金鑰，以保護並控制對某些資料類型的存取。 Azure Databricks 有三個客戶管理的主要功能，適用於不同類型的數據和位置。 若要比較它們，請參閱 客戶管理的加密密鑰。

Azure Databricks 控制平面 中的受控服務數據會在待用時加密。 您可以為受控服務新增客戶管理的金鑰，以協助保護及控制對下列加密資料的存取：

• Azure Databricks 控制平面中的筆記本來源
• 筆記本的筆記本結果會以互動方式執行，而不是儲存在控制平面中的作業。 根據預設，較大的結果也會儲存在工作區根貯體中。 您可以將 Azure Databricks 設定為 將所有互動式筆記本結果儲存在雲端帳戶中。
• 秘密管理員 API 所儲存的秘密。
• Databricks SQL 查詢和查詢歷程記錄。
• 個人存取令牌 （PAT） 或其他認證，用來 設定 Git 與 Databricks Git 資料夾的整合。

在您為工作區的受控服務加密新增客戶自控密鑰之後，Azure Databricks 會使用密鑰來控制密鑰的存取權，以加密未來將作業寫入工作區的受控服務數據。 現有的數據不會重新加密。 數據加密金鑰會在記憶體中快取，以進行數個讀取和寫入作業，並定期從記憶體收回。 該數據的新要求需要雲端服務密鑰管理系統的另一個要求。 如果您刪除或撤銷金鑰，讀取或寫入受保護的數據會在快取時間間隔結束時失敗。 您可以稍後輪替客戶管理的金鑰（更新）。

重要

如果您輪替金鑰，則必須保留舊密鑰 24 小時。

此功能不會加密儲存在 控制平面外部的數據。 若要加密工作區記憶體帳戶中的數據，請參閱 DBFS 根目錄的客戶自控密鑰。

您可以使用 Azure 金鑰保存庫 儲存庫或 Azure 金鑰保存庫 HSM 來啟用客戶管理的金鑰：

• 為受控服務啟用客戶管理的金鑰
• 為受控服務啟用 HSM 客戶管理的金鑰