Clés gérées par le client pour la racine DBFS

Remarque

Cette fonctionnalité est disponible uniquement dans le plan Premium.

Pour contrôler davantage vos données, vous pouvez ajouter votre propre clé afin de les protéger et contrôler l’accès à certains types de données. Azure Databricks dispose de deux fonctionnalités de clés gérées par le client qui impliquent différents types de données et d’emplacements. Pour obtenir une comparaison, consultez Clés gérées par le client pour le chiffrement.

Par défaut, le compte de stockage est chiffré à l’aide de clés gérées par Microsoft. Après avoir ajouté une clé gérée par le client pour la racine DBFS, Azure Databricks utilise votre clé pour chiffrer toutes les données dans le stockage blob racine de l’espace de travail.

  • Le compte de stockage de l’espace de travail contient la racine DBFS de votre espace de travail, qui est l’emplacement par défaut dans DBFS. Databricks File System (DBFS) est un système de fichiers distribué, monté dans un espace de travail Azure Databricks et disponible sur les clusters Azure Databricks. DBFS est implémenté en tant qu’instance de stockage Blob dans le groupe de ressources managées de votre espace de travail Azure Databricks. Le compte de stockage de l’espace de travail inclut des modèles MLflow et des données Delta Live Table à la racine DBFS (mais pas pour les montages DBFS).
  • Le compte de stockage de l’espace de travail racine inclut également les données système de votre espace de travail (qui ne sont pas directement accessibles à l’aide des chemins DBFS), ce qui inclut les résultats des travaux, les résultats Databricks SQL, les révisions de notebook et d’autres données d’espace de travail.

Important

Cette fonctionnalité affecte votre racine DBFS, mais elle n’est pas utilisée pour chiffrer des données sur des montages DBFS supplémentaires comme des montages DBFS d’objets blob ou de stockage ADLS supplémentaires. Les montages constituent un modèle d’accès hérité. Databricks recommande d’utiliser Unity Catalog pour gérer l’accès à toutes les données. Consultez Se connecter au stockage d’objets cloud et aux services à l’aide du catalogue Unity.

Vous devez utiliser Azure Key Vault pour stocker vos clés gérées par le client. Vous pouvez stocker vos clés dans des coffres Azure Key Vault ou dans des modules de sécurité matérielle gérés Azure Key Vault (HSM). Pour en savoir plus sur les coffres Azure Key Vault et les HSM, consultez À propos des clés Key Vault. Il existe différentes instructions pour l'utilisation des coffres Azure Key Vault et des HSM Azure Key Vault.

Le coffre de clés doit se trouver dans le même locataire Azure que votre espace de travail Azure Databricks.

Vous pouvez activer les clés gérées par le client à l'aide des coffres Azure Key Vault pour votre compte de stockage de l’espace de travail de trois manières différentes :

Vous pouvez également activer les clés gérées par le client à l'aide des HSM Azure Key Vault pour votre compte de stockage de l’espace de travail de trois manières différentes :