Claves administradas por el cliente para la raíz de DBFS

Nota:

Esta característica solo está disponible en el plan Premium.

Para disponer de un mayor control sobre los datos, puede agregar su propia clave para proteger y controlar el acceso a ciertos tipos de datos. Azure Databricks posee dos características de clave administrada por el cliente que se aplican a diferentes tipos de datos y ubicaciones. Para obtener una comparación entre ambas, consulte el artículo Claves administradas por el cliente para procesos de cifrado.

De manera predeterminada, la cuenta de almacenamiento se cifran con claves administradas por Microsoft. Después de agregar una clave administrada por el cliente para la raíz de DBFS, Azure Databricks usa la clave para cifrar todos los datos de Blob Storage raíz del área de trabajo.

  • La cuenta de almacenamiento del área de trabajo contiene las raíz de DBFS, que es la ubicación predeterminada en DBFS. El sistema de archivos de Databricks (DBFS) es un sistema de archivos distribuido montado en un área de trabajo de Azure Databricks y disponible en los clústeres de Azure Databricks. El sistema DBFS se implementa en forma de una instancia de Blob Storage en el grupo de recursos administrado de un área de trabajo de Azure Databricks. La cuenta de almacenamiento del área de trabajo incluye modelos de MLflow y Datos de Delta Live Table en la raíz de DBFS (pero no para montajes de DBFS).
  • La cuenta de almacenamiento del área de trabajo también incluye los datos del sistema del área de trabajo (no accesibles directamente mediante rutas de acceso de DBFS), que incluye los resultados del trabajo, los resultados de SQL de Databricks, las revisiones del cuaderno y otros datos del área de trabajo.

Importante

Aunque esta característica afecta a la raíz de DBFS, esta no se usará para cifrar los datos de los montajes DBFS adicionales, como los montajes DBFS adicionales de Blob Storage o ADLS. Los montajes son un patrón de acceso heredado. Databricks recomienda usar Unity Catalog para administrar todo el acceso a los datos. Consulte Conexión al almacenamiento y servicios de objetos en la nube mediante el catálogo de Unity.

Debe usar Azure Key Vault para almacenar las claves administradas por el cliente. Puede almacenar las claves en almacenes de Azure Key Vault o módulos de seguridad de hardware administrados (HSM) de Azure Key Vault. Para más información sobre los almacenes y HSM de Azure Key Vault, consulte Acerca de las claves de Key Vault. Hay distintas instrucciones para usar almacenes de Azure Key Vault y HSM de Azure Key Vault.

La instancia de Key Vault debe estar en el mismo inquilino de Azure que el área de trabajo de Azure Databricks.

Puede habilitar claves administradas por el cliente mediante almacenes de Azure Key Vault para la cuenta de almacenamiento del área de trabajo de tres maneras diferentes:

También puede habilitar claves administradas por el cliente mediante HSM de Azure Key Vault para la cuenta de almacenamiento del área de trabajo de tres maneras diferentes: