Klucze zarządzane przez klienta do szyfrowania
Ten artykuł zawiera omówienie kluczy zarządzanych przez klienta na potrzeby szyfrowania.
Uwaga
Ta funkcja wymaga planu Premium.
Omówienie kluczy zarządzanych przez klienta na potrzeby szyfrowania
Niektóre usługi i dane obsługują dodawanie klucza zarządzanego przez klienta, aby chronić i kontrolować dostęp do zaszyfrowanych danych. Usługę zarządzania kluczami w chmurze można użyć do obsługi klucza szyfrowania zarządzanego przez klienta.
Usługa Azure Databricks obsługuje klucze zarządzane przez klienta z magazynów usługi Azure Key Vault i zarządzane moduły HSM usługi Azure Key Vault (sprzętowe moduły zabezpieczeń).
Usługa Azure Databricks ma trzy kluczowe funkcje zarządzane przez klienta dla różnych typów danych:
- Klucze zarządzane przez klienta dla dysków zarządzanych platformy Azure
- Zarządzane przez klienta klucze do usług zarządzanych
- Klucze zarządzane przez klienta dla katalogu głównego DBFS
W poniższej tabeli wymieniono funkcje klucza zarządzanego przez klienta, dla których typów danych są używane.
| Typ danych | Lokalizacja | Funkcja klucza zarządzanego przez klienta |
|---|---|---|
| Źródło i metadane notesu | Płaszczyzna sterowania | Usługi zarządzane |
| Osobiste tokeny dostępu (PAT) lub inne poświadczenia używane do integracji usługi Git z folderami usługi Databricks Git | Płaszczyzna sterowania | Usługi zarządzane |
| Wpisy tajne przechowywane przez interfejsy API menedżera wpisów tajnych | Płaszczyzna sterowania | Usługi zarządzane |
| Zapytania SQL i historia zapytań usługi Databricks | Płaszczyzna sterowania | Usługi zarządzane |
| Indeksy i metadane wyszukiwania wektorowego | Bezserwerowa płaszczyzna obliczeniowa | Usługi zarządzane |
| Dane główne systemu DBFS dostępne dla klienta | Katalog główny DBFS obszaru roboczego na koncie magazynu obszaru roboczego w ramach subskrypcji platformy Azure. Obejmuje to również obszar FileStore. | Katalog główny systemu plików DBFS. |
| Wyniki zadania | Konto magazynu obszaru roboczego w ramach subskrypcji platformy Azure | Katalog główny systemu plików DBFS. |
| Wyniki usługi Databricks SQL | Konto magazynu obszaru roboczego w ramach subskrypcji platformy Azure | Katalog główny systemu plików DBFS. |
| Modele MLflow | Konto magazynu obszaru roboczego w ramach subskrypcji platformy Azure | Katalog główny systemu plików DBFS. |
| Tabela delta Live | Jeśli używasz ścieżki DBFS w katalogu głównym systemu plików DBFS, jest on przechowywany na koncie magazynu obszaru roboczego w ramach subskrypcji platformy Azure. Nie dotyczy to ścieżek systemu plików DBFS reprezentujących punkty instalacji do innych źródeł danych. | Katalog główny systemu plików DBFS. |
| Wyniki notesu interaktywnego | Domyślnie podczas interaktywnego uruchamiania notesu (a nie jako zadania) wyniki są przechowywane na płaszczyźnie sterowania pod kątem wydajności z niektórymi dużymi wynikami przechowywanymi na koncie magazynu obszaru roboczego w ramach subskrypcji platformy Azure. Możesz skonfigurować usługę Azure Databricks, aby przechowywać wszystkie interaktywne wyniki notesu na koncie magazynu obszaru roboczego. Zobacz Konfigurowanie lokalizacji przechowywania dla wyników interaktywnego notesu. | Aby uzyskać częściowe wyniki na płaszczyźnie sterowania, użyj klucza zarządzanego przez klienta dla usług zarządzanych. Aby uzyskać wyniki na koncie magazynu obszaru roboczego, które można skonfigurować dla całego magazynu wyników, użyj klucza zarządzanego przez klienta dla katalogu głównego systemu plików DBFS. |
| Inne dane systemowe obszaru roboczego na koncie magazynu obszaru roboczego, które są niedostępne za pośrednictwem systemu plików DBFS, takie jak poprawki notesu. | Konto magazynu obszaru roboczego w ramach subskrypcji platformy Azure | Katalog główny systemu plików DBFS. |
| Dyski zarządzane | Tymczasowy magazyn dysków maszyn wirtualnych w zasobach obliczeniowych, takich jak klastry. Dotyczy tylko zasobów obliczeniowych w klasycznej płaszczyźnie obliczeniowej w ramach subskrypcji platformy Azure. Zobacz Obliczenia bezserwerowe i klucze zarządzane przez klienta. | Dyski zarządzane |
Aby uzyskać dodatkowe zabezpieczenia dla wystąpienia konta magazynu obszaru roboczego w ramach subskrypcji platformy Azure, możesz włączyć obsługę podwójnego szyfrowania i zapory. Zobacz Konfigurowanie podwójnego szyfrowania dla głównego systemu plików DBFS i Włączanie obsługi zapory dla konta magazynu obszaru roboczego.
Bezserwerowe klucze obliczeniowe i klucze zarządzane przez klienta
Usługa SQL Serverless usługi Databricks obsługuje:
Klucze zarządzane przez klienta dla usług zarządzanych dla zapytań SQL usługi Databricks i historii zapytań.
Klucze zarządzane przez klienta dla magazynu głównego DBFS dla wyników sql usługi Databricks.
Klucze zarządzane przez klienta dla magazynu dysków zarządzanych nie mają zastosowania do zasobów obliczeniowych bezserwerowych. Dyski dla bezserwerowych zasobów obliczeniowych są krótkotrwałe i powiązane z cyklem życia obciążenia bezserwerowego. Gdy zasoby obliczeniowe są zatrzymywane lub skalowane w dół, maszyny wirtualne i ich magazyn są niszczone.
Obsługa modelu
Zasoby obsługujące model — funkcja obliczeniowa bezserwerowa — zazwyczaj należą do dwóch kategorii:
- Zasoby tworzone dla modelu są przechowywane w katalogu głównym systemu plików DBFS obszaru roboczego w magazynie obszaru roboczego w usłudze ADLSgen2 (w przypadku starszych obszarów roboczych, usługi Blob Storage). Obejmuje to artefakty modelu i metadane wersji. Zarówno rejestr modelu obszaru roboczego, jak i MLflow używają tego magazynu. Ten magazyn można skonfigurować tak, aby używał kluczy zarządzanych przez klienta.
- Zasoby tworzone przez usługę Azure Databricks bezpośrednio w Twoim imieniu obejmują obraz modelu i efemeryczny magazyn obliczeniowy bezserwerowy. Są one szyfrowane przy użyciu kluczy zarządzanych przez usługę Databricks i nie obsługują kluczy zarządzanych przez klienta.
Klucze zarządzane przez klienta dla magazynu dysków zarządzanych nie mają zastosowania do zasobów obliczeniowych bezserwerowych. Dyski dla bezserwerowych zasobów obliczeniowych są krótkotrwałe i powiązane z cyklem życia obciążenia bezserwerowego. Gdy zasoby obliczeniowe są zatrzymywane lub skalowane w dół, maszyny wirtualne i ich magazyn są niszczone.