Vom Kunden verwaltete Schlüssel für die Verschlüsselung

Dieser Artikel enthält eine Übersicht über vom Kunden verwaltete Schlüssel für die Verschlüsselung.

Hinweis

Für dieses Feature ist der Premium-Plan erforderlich.

Übersicht der vom Kunden verwalteten Schlüssel für die Verschlüsselung

Einige Dienste und Daten unterstützen das Hinzufügen eines vom Kunden verwalteten Schlüssels, um den Zugriff auf verschlüsselte Daten zu schützen und zu steuern. Sie können den Schlüsselverwaltungsdienst in Ihrer Cloud verwenden, um einen vom Kunden verwalteten Verschlüsselungsschlüssel zu verwalten.

Azure Databricks unterstützt kundenseitig verwaltete Schlüssel aus Azure Key Vault-Tresoren und Azure Key Vault Managed HSM (Hardware Security Modules).

Azure Databricks verfügt über drei kundenseitig verwaltete Schlüsselfeatures für verschiedene Datentypen:

In der folgenden Tabelle werden die vom Kunden verwalteten Schlüsselfeatures für welche Datentypen verwendet.

Datentyp Standort Die Funktion des kundenseitig verwalteten Schlüssels
KI/BI-Dashboards Steuerungsebene Verwaltete Dienste
Notebookquelle und Metadaten Steuerungsebene Verwaltete Dienste
Persönliche Zugriffstoken (Personal Access Token, PAT) oder andere Anmeldeinformationen werden für die Git-Integration mit Databricks-Git-Ordnern verwendet. Steuerungsebene Verwaltete Dienste
Von den geheimen Manager-APIs gespeicherte Geheimschlüssel Steuerungsebene Verwaltete Dienste
Databricks SQL Abfragen und Abfrageverlauf Steuerungsebene Verwaltete Dienste
Vektorsuchindizes und Metadaten Serverlose Computeebene Verwaltete Dienste
Kundenzugriff auf DBFS-Stammdaten Der DBFS-Stamm Ihres Arbeitsbereichs im Speicherkonto Ihres Arbeitsbereichs in Ihrem Azure-Abonnement. Dies schließt auch den FileStore-Bereich ein. DBFS-Stamm
Auftragsergebnisse Speicherkonto des Arbeitsbereichs in Ihrem Azure-Abonnement DBFS-Stamm
Datenbricks SQL Ergebnisse Speicherkonto des Arbeitsbereichs in Ihrem Azure-Abonnement DBFS-Stamm
MLflow-Modelle Speicherkonto des Arbeitsbereichs in Ihrem Azure-Abonnement DBFS-Stamm
Delta Live Table Wenn Sie einen DBFS-Pfad in Ihrem DBFS-Stamm verwenden, wird dieser im Speicherkonto Ihres Arbeitsbereichs in Ihrem Azure-Abonnement gespeichert. Dies gilt nicht für DBFS-Pfade, die Bereitstellungspunkte für andere Datenquellen darstellen. DBFS-Stamm
Interaktive Notebookergebnisse Standardmäßig gilt: Wenn Sie ein Notebook nicht als Auftrag, sondern interaktiv ausführen, werden die Ergebnisse auf der Steuerungsebene gespeichert, um die Leistung zu optimieren. Dabei werden einige große Ergebnisse im Speicherkonto Ihres Arbeitsbereichs in Ihrem Azure-Abonnement gespeichert. Sie können Azure Databricks so konfigurieren, dass alle Ergebnisse interaktiver Notebooks im Speicherkonto Ihres Arbeitsbereichs in Ihrem Azure-Abonnement gespeichert werden. Siehe Konfigurieren des Speicherorts für interaktive Notebookergebnisse. Verwenden Sie für Teilergebnisse in der Kontrollebene einen vom Kunden verwalteten Schlüssel für verwaltete Dienste. Verwenden Sie für Ergebnisse im Speicherkonto Ihres Arbeitsbereichs, das Sie für den gesamten Ergebnisspeicher konfigurieren können, einen kundenseitig verwalteten Schlüssel für den DBFS-Stamm.
Andere Arbeitsbereichssystemdaten im Speicherkonto Ihres Arbeitsbereichs, auf die über DBFS nicht zugegriffen werden kann (z. B. Notebookrevisionen) Speicherkonto des Arbeitsbereichs in Ihrem Azure-Abonnement DBFS-Stamm
Verwaltete Datenträger Temporärer Datenträgerspeicher von VMs in Computeressourcen wie Clustern. Gilt nur für Computeressourcen in der klassischen Computeebene in Ihrem Azure-Abonnement. Weitere Informationen finden Sie unter Serverloses Computing und kundenseitig verwaltete Schlüssel. Verwaltete Datenträger

Für zusätzliche Sicherheit für das Speicherkonto Ihres Arbeitsbereichs in Ihrem Azure-Abonnement können Sie die doppelte Verschlüsselung und Firewallunterstützung aktivieren. Weitere Informationen finden Sie unter Konfigurieren der doppelten Verschlüsselung für den DBFS-Stamm und Aktivieren der Firewallunterstützung für das Speicherkonto Ihres Arbeitsbereichs.

Wichtig

Nur AI/BI-Dashboards, die nach dem 1. November 2024 erstellt wurden, sind verschlüsselt und mit vom Kunden verwalteten Schlüsseln kompatibel.

Serverloses Computing und kundenseitig verwaltete Schlüssel

Databricks SQL Serverless unterstützt Folgendes:

Modellbereitstellung

Ressourcen für die Modellbereitstellung, ein Feature für serverloses Computing, fallen in der Regel in zwei Kategorien:

  • Ressourcen, die Sie für das Modell erstellen, werden im DBFS-Stamm Ihres Arbeitsbereichs in Ihrem Arbeitsbereichsspeicher in ADLSgen2 (Blog Storage bei älteren Arbeitsbereichen) gespeichert. Dies schließt die Artefakte und Versionsmetadaten des Modells ein. Sowohl die Arbeitsbereichsmodellregistrierung als auch MLflow verwenden diesen Speicher. Sie können diesen Speicher für die Verwendung von kundenseitig verwalteten Schlüsseln konfigurieren.
  • Zu den Ressourcen, die Azure Databricks direkt in Ihrem Namen erstellt, gehören das Modellimage und der kurzlebige Speicher für serverloses Computing. Diese werden mit von Databricks verwalteten Schlüsseln verschlüsselt und unterstützen keine kundenseitig verwalteten Schlüssel.

Kundenseitig verwaltete Schlüssel für verwalteten Datenträgerspeicher gelten nicht für Ressourcen für serverloses Computing. Datenträger, die für Ressourcen für serverloses Computing verwendet werden, sind kurzlebig und an den Lebenszyklus der serverlosen Workload gebunden. Wenn Computeressourcen beendet oder herunterskaliert werden, werden die VMs und deren Speicher zerstört.