Kundenseitig verwaltete Schlüssel für den DBFS-Stamm

Hinweis

Dieses Feature ist nur im Premium-Plan verfügbar.

Um zusätzliche Kontrolle über Ihre Daten zu erhalten, können Sie Ihren eigenen Schlüssel hinzufügen, um den Zugriff auf einige Arten von Daten zu schützen und zu steuern. Azure Databricks verfügt über zwei vom Kunden verwaltete wichtige Features, die unterschiedliche Datentypen und Speicherorte umfassen. Einen Vergleich finden Sie unter Vom Kunden verwaltete Schlüssel für die Verschlüsselung.

Das Speicherkonto wird standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Nachdem Sie einen kundenseitig verwalteten Schlüssel für den DBFS-Stamm hinzugefügt haben, verwendet Azure Databricks diesen Schlüssel, um alle Daten im Stammblobspeicher des Arbeitsbereichs zu verschlüsseln.

  • Das Speicherkonto des Arbeitsbereichs enthält den DBFS-Stamm Ihres Arbeitsbereichs, bei dem es sich um den Standardspeicherort in DBFS handelt. Das Databricks-Dateisystem (Databricks File System, DBFS) ist ein verteiltes Dateisystem, das in einen Azure Databricks-Arbeitsbereich eingebunden und in Azure Databricks-Clustern verfügbar ist. DBFS wird als Blob Storage-Instanz in der verwalteten Ressourcengruppe Ihres Azure Databricks-Arbeitsbereichs implementiert. Das Speicherkonto des Arbeitsbereichs enthält MLflow-Modelle und Delta Live Table-Daten in Ihrem DBFS-Stamm (jedoch nicht für DBFS-Bereitstellungen).
  • Das Speicherkonto des Arbeitsbereichs enthält auch die Systemdaten Ihres Arbeitsbereichs (auf die Sie nicht direkt über DBFS-Pfade zugreifen können). Dazu gehören Auftragsergebnisse, Databricks SQL-Ergebnisse, Notebookrevisionen und einige weitere Arbeitsbereichsdaten.

Wichtig

Dieses Feature wirkt sich auf Ihren DBFS-Stamm aus, wird jedoch nicht zum Verschlüsseln von Daten auf zusätzlichen DBFS-Mounts wie etwa DBFS-Mounts eines zusätzlichen Blob Storage oder ADLS-Speichers verwendet. Eine Einbindung stellt ein veraltetes Zugriffsmuster dar. Databricks empfiehlt die Verwendung von Unity Catalog für die Verwaltung des gesamten Datenzugriffs. Siehe Verbinden mit Cloudobjektspeicher und -diensten mithilfe des Unity-Katalogs.

Sie müssen Azure Key Vault zum Speichern Ihrer kundenseitig verwalteten Schlüssel verwenden. Sie können Ihre Schlüssel in Azure Key Vault-Tresoren oder in verwalteten Azure Key Vault-HSMs (Hardware Security Modules) speichern. Weitere Informationen zu Azure Key Vault-Tresoren und HSMs finden Sie unter Informationen zu Key Vault-Schlüsseln. Es gibt verschiedene Anweisungen für die Verwendung von Azure Key Vault-Tresoren und Azure Key Vault-HSMs.

Key Vault muss sich im selben Azure-Mandanten wie Ihr Azure Databricks-Arbeitsbereich befinden.

Sie können kundenseitig verwaltete Schlüssel mithilfe von Azure Key Vault-Tresoren für das Speicherkonto Ihres Arbeitsbereichs auf drei verschiedene Arten aktivieren:

Sie können kundenseitig verwaltete Schlüssel auch mithilfe von Azure Key Vault-HSMs für das Speicherkonto Ihres Arbeitsbereichs auf drei verschiedene Arten aktivieren: