Chaves geridas pelo cliente para serviços geridos
Nota
Este recurso requer o plano Premium.
Para um controlo adicional dos seus dados, pode adicionar a sua própria chave para proteger e controlar o acesso a alguns tipos de dados. O Azure Databricks tem três recursos principais gerenciados pelo cliente para diferentes tipos de dados e locais. Para compará-los, consulte Chaves gerenciadas pelo cliente para criptografia.
Os dados de serviços gerenciados no plano de controle do Azure Databricks são criptografados em repouso. Você pode adicionar uma chave gerenciada pelo cliente para serviços gerenciados para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Origem do bloco de anotações no plano de controle do Azure Databricks
- Os resultados do bloco de anotações para blocos de anotações são executados interativamente (não como trabalhos) armazenados no plano de controle. Por padrão, resultados maiores também são armazenados no bucket raiz do espaço de trabalho. Você pode configurar o Azure Databricks para armazenar todos os resultados do bloco de anotações interativo em sua conta na nuvem.
- Segredos armazenados pelas APIs do gerenciador de segredos.
- Consultas SQL Databricks e histórico de consultas.
- Tokens de acesso pessoal (PAT) ou outras credenciais usadas para configurar a integração do Git com pastas Databricks Git.
Depois de adicionar uma chave gerenciada pelo cliente para criptografia de serviços gerenciados para um espaço de trabalho, o Azure Databricks usa sua chave para controlar o acesso à chave que criptografa operações de gravação futuras nos dados de serviços gerenciados do seu espaço de trabalho. Os dados existentes não são criptografados novamente. A chave de criptografia de dados é armazenada em cache na memória para várias operações de leitura e gravação e removida da memória em um intervalo regular. Novas solicitações para esses dados exigem outra solicitação para o sistema de gerenciamento de chaves do seu serviço de nuvem. Se você excluir ou revogar sua chave, a leitura ou gravação nos dados protegidos falhará no final do intervalo de tempo do cache. Você pode girar (atualizar) a chave gerenciada pelo cliente posteriormente.
Importante
Se você girar a chave, você deve manter a chave antiga disponível por 24 horas.
Esse recurso não criptografa dados armazenados fora do plano de controle. Para criptografar dados em sua conta de armazenamento de espaço de trabalho, consulte Chaves gerenciadas pelo cliente para raiz DBFS.
Você pode habilitar chaves gerenciadas pelo cliente usando os cofres do Azure Key Vault ou HSMs do Azure Key Vault: