此頁面描述合規性安全性配置檔、其合規性控制和支援的功能。 若要啟用合規性安全性配置檔,請參閱 設定增強的安全性與合規性設定。
兼容安全性檔案概述
合規安全設定檔允許額外的監控、強化的運算映像檔,以及 Azure Databricks 工作區上的其他功能與控制。 合規性安全性設定檔包含可協助符合某些合規性標準適用安全性需求的控制項。
使用 Azure Databricks 處理以下規範資料時,必須具備合規安全設定檔:
強烈建議使用合規性安全性配置檔來處理公開預覽合規性標準下管制的數據。 一旦這些工作負載達到一般可用性,即需要合規性安全性配置檔。
Databricks 也強烈建議啟用合規性安全性配置檔,以在 HIPAA 下處理數據,但並非必要。
您也可以選擇為增強的安全性功能啟用合規性安全性配置檔,而不需要符合合規性標準。
Important
- 您應承擔全部責任,確保您自己遵守所有適用法令規定。
- 針對 HIPAA 以外的合規性,您完全負責確保在處理受管制的數據之前,合規性安全配置和適當的合規標準已設定。 為了處理 PHI 資料,Databricks 強烈建議使用合規性安全性設定檔,並選取 HIPAA 合規性標準。
- 您需完全負責驗證敏感資訊從未輸入到客戶定義的輸入欄位,例如工作區名稱、運算資源名稱、標籤、工作名稱、工作執行名稱、網路名稱、憑證名稱、儲存帳號名稱,以及 Git 儲存庫 ID 或網址。 這些欄位可能會在合規性界限之外儲存、處理或存取。
如果您在任何工作區上啟用此功能,則會如定價頁面上所述,向您收取增強式安全性與合規性附加元件的費用。
備註
帳號層級 Genie 不會彙整啟用合規安全設定檔的工作區資料。 請參見 帳戶層級精靈。
合規安全配置檔的安全增強功能
安全性增強功能包括:
CIS 層級 1 強化映像。
自動叢集更新,藉由在可設定的維護期間定期重新啟動叢集,確保叢集具有最新的更新。 請參閱 自動叢集更新。
增強的安全性監視,包括產生可檢閱記錄的監視代理程式。 請參見Azure Databricks 計算平面的監控代理影像。
叢集內和輸出的通訊會使用 TLS 1.2 或更高版本,包括與中繼存放區的通訊。
依區域提供經典與無伺服器計算服務
合規性安全性配置檔會決定傳統和無伺服器計算平面中的計算資源會強制執行哪些合規性標準。
傳統計算資源支援跨區域的各種合規性標準。 無伺服器計算資源 (無伺服器 SQL 倉儲、筆記本和工作流程的無伺服器計算,以及無伺服器 Lakeflow Spark 宣告式管線) 的支援更有限,視合規性標準和區域而定。
下表列出每個計算平面支援哪些合規性標準,以及對應的支持區域:
| 合規性標準 | 傳統計算平面支援 | 無伺服器計算平面支援 |
|---|---|---|
| C5 | 所有區域 | 具有無伺服器的所有區域 |
| CCCS 中型 (B級保護) |
canadacentral、canadaeast |
canadacentral、canadaeast |
| HIPAA | 所有區域 | 具有無伺服器的所有區域 |
| HITRUST | 所有區域 |
australiaeast、australiasoutheast、canadacentral、eastus、eastus2、germanywestcentral、northeurope、uksouth |
| IRAP |
australiacentral、australiacentral2、australiaeast、australiasoutheast |
australiaeast、australiasoutheast |
| 資訊安全管理與評估計畫(ISMAP) | 除了 australiacentral2、 eastasia、 mexicocentral、 southeastasia之外的所有區域 switzerlandwest |
australiaeast、australiasoutheast、canadacentral、eastus、eastus2、germanywestcentral、northeurope、uksouth |
| K-FSI | koreacentral |
None |
| PCI-DSS | 所有區域 |
australiaeast、australiasoutheast、canadacentral、eastus、eastus2、germanywestcentral、northeurope、uksouth |
| TISAX | 所有區域 | 具有無伺服器的所有區域 |
| 英國 Cyber Essentials Plus |
ukwest、uksouth |
uksouth |
備註
IRAP 與 Canada Protected B 工作負載的無伺服器運算需要包含環境版本 5 或以上的基礎環境。 若未選擇相容的基底環境,啟用這些合規安全設定檔後,無伺服器運算將無法啟動。 要選擇基地環境,請參見 選擇基地環境。
如需計算平面架構的詳細資訊,請參閱 高階架構。
支援的預覽功能
僅支援本節列出的預覽與測試版功能,適用於啟用合規安全設定檔的工作空間。 其他預覽或測試版功能均不支援。
下表列出所有支援的預覽與測試版功能:
- 大多數功能在啟用合規安全設定檔時,適用於所有合規標準。
- 標示特定合規標準的功能(例如「僅限 HIPAA」)僅支援以該合規標準配置的工作區。
- 標示為「無伺服器」的功能僅能在無伺服器計算平面上執行。 請參閱依 區域的傳統和無伺服器計算支援。
備註
Databricks 應用程式目前已普遍提供。 然而,若要使用 Databricks Apps 搭配合規安全設定檔,工作區管理員必須在預覽頁面啟用該設定檔。 請參閱 Databricks 應用程式 與 管理工作區層級預覽。
| 特徵 / 功能 | 地位 | Compute | 註釋 |
|---|---|---|---|
| 代理框架:代表使用者授權 | 公開預覽 | 標準與無伺服器 | 僅限HIPAA |
| Genie Spaces 中的代理模式 | 公開預覽 | 標準與無伺服器 | |
| ai_forecast() | 公開預覽 | 標準與無伺服器 | 僅限HIPAA |
| 異常偵測 | Beta | 僅限無伺服器架構 | |
| 自動載入器對於檔案事件的支援 | 公開預覽 | 標準與無伺服器 | |
| 自帶資料譜系 | 公開預覽 | 標準與無伺服器 | |
| 計算記錄傳遞至磁碟區 | 公開預覽 | 標準與無伺服器 | |
| Git 資料夾中的看板 | 公開預覽 | 標準與無伺服器 | |
| 資料分類 | 公開預覽 | 標準與無伺服器 | 僅限HIPAA |
| 資料控管中樞 | 私人預覽 | 標準與無伺服器 | |
| Databricks 管理的 MCP 伺服器 | 公開預覽 | 僅限無伺服器架構 | |
| Databricks SQL 警示 | 公開預覽 | 標準與無伺服器 | |
| 獨家存取權 | 私人預覽 | 標準與無伺服器 | |
| 外部 MCP 伺服器 | 公開預覽 | 僅限無伺服器架構 | |
| Google Drive 連接器(標準) | Beta | 標準與無伺服器 | |
| 受控管標籤 | 公開預覽 | 標準與無伺服器 | |
| 高記憶體的無伺服器計算筆記本任務 | 公開預覽 | 僅限無伺服器架構 | |
| 湖流連接 SQL Server | 公開預覽 | 標準與無伺服器 | |
| 使用 ai_query的 LLM 批次推斷 | 公開預覽 | 標準與無伺服器 | 僅限HIPAA |
| 讀取Excel檔案 | Beta | 標準與無伺服器 | |
| 環境變數中的祕密路徑 | 公開預覽 | 標準與無伺服器 | |
| 無伺服器預測 | 公開預覽 | 僅限無伺服器架構 | |
| Serverless 預測分析 Python SDK | 私人預覽 | 僅限無伺服器架構 | |
| 無伺服器工作區 | 公開預覽 | 僅限無伺服器架構 | |
| SharePoint連接器(管理型) | Beta | 標準與無伺服器 | |
| SharePoint連接器(標準) | Beta | 標準與無伺服器 | |
| 處於公開預覽狀態的系統數據表 | 公開預覽 | 標準與無伺服器 | |
| Unity 目錄存取請求 | 公開預覽 | 標準與無伺服器 | |
| Unity 目錄屬性型存取控制 (ABAC) | 公開預覽 | 標準與無伺服器 | |
| Databricks Apps 的用戶授權 | 公開預覽 | 標準與無伺服器 | |
| Unity 目錄中的使用者定義函式 | 公開預覽 | 標準與無伺服器 | |
| 工作區層級 SCIM 佈建 | 公開預覽 | 標準與無伺服器 | 傳承功能。 請參閱 帳戶層級和工作區層級 SCIM 布建。 |