Chaves gerenciadas pelo cliente para criptografia

Este artigo fornece uma visão geral das chaves gerenciadas pelo cliente para criptografia.

Observação

Esse recurso requer o plano Premium.

Visão geral das chaves gerenciadas pelo cliente para criptografia

Alguns serviços e dados têm suporte para adicionar uma chave gerenciada pelo cliente para ajudar a proteger e controlar o acesso a dados criptografados. Você pode usar o serviço de gerenciamento de chaves na sua nuvem para manter uma chave de criptografia gerenciada pelo cliente.

O Azure Databricks dá suporte a chaves gerenciadas pelo cliente de cofres do Azure Key Vault e HSM (Módulos de Segurança de Hardware) Gerenciado do Azure Key Vault.

O Azure Databricks tem três recursos de chave gerenciada pelo cliente para diferentes tipos de dados:

A tabela a seguir lista quais recursos de chave gerenciada pelo cliente são usados para quais tipos de dados.

Tipo de dados Location Recurso de chave gerenciada pelo cliente
Origem e metadados do notebook Painel de controle Serviços gerenciados
Tokens de acesso pessoal (PAT) ou outras credenciais usadas para integração do Git com pastas Git do Databricks Painel de controle Serviços gerenciados
Segredos armazenados pelas APIs do gerenciador de segredos Painel de controle Serviços gerenciados
Consultas e histórico de consultas do SQL do Databricks Painel de controle Serviços gerenciados
Índices e metadados da Busca em Vetores Plano de computação sem servidor Serviços gerenciados
Dados da raiz do DBFS acessíveis ao cliente A raiz DBFS do seu workspace na sua conta de armazenamento do workspace na sua subscrição do Azure. Isso também inclui a área do FileStore. Raiz do DBFS
Resultados de trabalho Conta de armazenamento do workspace na assinatura do Azure Raiz do DBFS
Resultados do SQL do Databricks Conta de armazenamento do workspace na assinatura do Azure Raiz do DBFS
Modelos do MLflow Conta de armazenamento do workspace na assinatura do Azure Raiz do DBFS
Delta Live Table Se você usar um caminho DBFS na raiz do DBFS, isso será armazenado em sua conta de armazenamento do workspace em sua assinatura do Azure. Isso não se aplica a caminhos DBFS que representam pontos de montagem para outras fontes de dados. Raiz do DBFS
Resultados interativos do notebook Por padrão, ao executar um notebook interativamente (em vez de como um trabalho) os resultados são armazenados no painel de controle para desempenho com alguns resultados grandes armazenados na sua conta de armazenamento do workspace na sua assinatura do Azure. Você pode optar por configurar o Azure Databricks para armazenar todos os resultados interativos do notebook na sua conta de armazenamento do workspace. Confira Configurar o local de armazenamento para resultados interativos do notebook. Para obter resultados parciais no painel de controle, use uma chave gerenciada pelo cliente para serviços gerenciados. Para obter resultados na conta de armazenamento do workspace, que você pode configurar para todo o armazenamento de resultados, use uma chave gerenciada pelo cliente para a raiz do DBFS.
Outros dados do sistema da conta de armazenamento do workspace que estão inacessíveis por meio do DBFS, como revisões de notebook. Conta de armazenamento do workspace na assinatura do Azure Raiz do DBFS
Discos gerenciados Armazenamento temporário em disco de VMs em recursos de computação, como clusters. Aplica-se somente aos recursos de computação no plano de computação clássico na sua assinatura do Azure. Consulte Computação sem servidor e chaves gerenciadas pelo cliente. Discos gerenciados

Para obter segurança adicional para sua instância de conta de armazenamento do workspace em sua assinatura do Azure, você pode habilitar a criptografia dupla e o suporte ao firewall. Consulte Configurar criptografia dupla para raiz do DBFS e Habilitar o suporte de firewall para sua conta de armazenamento do workspace.

Computação sem servidor e chaves gerenciadas pelo cliente

O SQL do Databricks Sem Servidor tem suporte para:

Serviço de Modelo

Os recursos para o Serviço de Modelo, um recurso de computação sem servidor, geralmente estão em duas categorias:

  • Os recursos criados para o modelo são armazenados na raiz DBFS do espaço de trabalho no armazenamento do espaço de trabalho no ADLSgen2 (para espaços de trabalho mais antigos, armazenamento Blobs). Isso inclui os artefatos do modelo e os metadados da versão. Tanto o registro do modelo de espaço de trabalho quanto o MLflow usam esse armazenamento. Você pode configurar esse armazenamento para usar chaves as gerenciadas pelo cliente.
  • Os recursos que o Azure Databricks cria diretamente em seu nome incluem a imagem do modelo e o armazenamento efêmero da computação sem servidor. Eles são criptografados com chaves gerenciadas pelo Databricks e não são compatíveis com chaves gerenciadas pelo cliente.

As chaves gerenciadas pelo cliente para armazenamento em disco gerenciadonão se aplicam aos recursos de computação sem servidor. Os discos para recursos de computação sem servidor são de curta duração e estão vinculados ao ciclo de vida da carga de trabalho sem servidor. Quando os recursos de computação são interrompidos ou reduzidos verticalmente, as VMs e seu armazenamento são destruídos.