Chaves geridas pelo cliente para encriptação

Este artigo fornece uma visão geral das chaves gerenciadas pelo cliente para criptografia.

Nota

Este recurso requer o plano Premium.

Visão geral das chaves gerenciadas pelo cliente para criptografia

Alguns serviços e dados suportam a adição de uma chave gerenciada pelo cliente para ajudar a proteger e controlar o acesso a dados criptografados. Você pode usar o serviço de gerenciamento de chaves em sua nuvem para manter uma chave de criptografia gerenciada pelo cliente.

O Azure Databricks dá suporte a chaves gerenciadas pelo cliente dos cofres do Azure Key Vault e do Azure Key Vault Managed HSM (Módulos de Segurança de Hardware).

O Azure Databricks tem três funcionalidades de chave gerida pelo cliente para diferentes tipos de dados:

A tabela a seguir lista quais recursos-chave gerenciados pelo cliente são usados para quais tipos de dados.

Tipo de dados Location Recurso chave gerenciado pelo cliente
Painéis de IA/BI Plano de controlo Serviços geridos
Origem e metadados do bloco de notas Plano de controlo Serviços geridos
Tokens de acesso pessoal (PAT) ou outras credenciais usadas para integração do Git com pastas Databricks Git Plano de controlo Serviços geridos
Segredos armazenados pelas APIs do gerenciador de segredos Plano de controlo Serviços geridos
Consultas SQL Databricks e histórico de consultas Plano de controlo Serviços geridos
Índices e metadados da Pesquisa Vetorial Plano de computação sem servidor Serviços geridos
Dados raiz DBFS acessíveis pelo cliente Raiz DBFS do seu espaço de trabalho na sua conta de armazenamento de espaço de trabalho na sua subscrição do Azure. Isso também inclui a área FileStore. Raiz do DBFS
Resultados do trabalho Conta de armazenamento de espaço de trabalho em sua assinatura do Azure Raiz do DBFS
Resultados do Databricks SQL Conta de armazenamento de espaço de trabalho em sua assinatura do Azure Raiz do DBFS
Modelos MLflow Conta de armazenamento de espaço de trabalho em sua assinatura do Azure Raiz do DBFS
Mesa Delta Live Se você usar um caminho DBFS em sua raiz DBFS, ele será armazenado em sua conta de armazenamento de espaço de trabalho em sua assinatura do Azure. Isso não se aplica a caminhos DBFS que representam pontos de montagem para outras fontes de dados. Raiz do DBFS
Resultados do bloco de notas interativo Por padrão, quando você executa um bloco de anotações interativamente (em vez de como um trabalho), os resultados são armazenados no plano de controle para desempenho com alguns resultados grandes armazenados em sua conta de armazenamento de espaço de trabalho em sua assinatura do Azure. Você pode optar por configurar o Azure Databricks para armazenar todos os resultados do bloco de anotações interativo em sua conta de armazenamento do espaço de trabalho. Consulte Configurar o local de armazenamento para obter resultados interativos do bloco de anotações. Para obter resultados parciais no plano de controle, use uma chave gerenciada pelo cliente para serviços gerenciados. Para obter resultados na conta de armazenamento do espaço de trabalho, que você pode configurar para todo o armazenamento de resultados, use uma chave gerenciada pelo cliente para a raiz DBFS.
Outros dados do sistema de espaço de trabalho na conta de armazenamento do espaço de trabalho que estão inacessíveis por meio do DBFS, como revisões de bloco de anotações. Conta de armazenamento de espaço de trabalho em sua assinatura do Azure Raiz do DBFS
Discos geridos Armazenamento temporário em disco de VMs em recursos de computação, como clusters. Aplica-se apenas a recursos de computação no plano de computação clássico na sua subscrição do Azure. Veja Computação sem servidor e chaves geridas pelo cliente. Discos geridos

Para obter segurança adicional para sua instância de conta de armazenamento de espaço de trabalho em sua assinatura do Azure, você pode habilitar criptografia dupla e suporte a firewall. Consulte Configurar criptografia dupla para raiz DBFS e Habilitar suporte a firewall para sua conta de armazenamento de espaço de trabalho.

Importante

Somente painéis de IA/BI criados após 1º de novembro de 2024 são criptografados e compatíveis com chaves gerenciadas pelo cliente.

Computação sem servidor e chaves gerenciadas pelo cliente

Databricks SQL Serverless suporta:

Modelo de Servir

Os recursos para o Model Serving, um recurso de computação sem servidor, geralmente estão em duas categorias:

  • Os recursos criados para o modelo são armazenados na raiz DBFS do espaço de trabalho no armazenamento do espaço de trabalho no ADLSgen2 (para espaços de trabalho mais antigos, armazenamento de Blob). Isso inclui os artefatos do modelo e os metadados da versão. Tanto o registro do modelo de espaço de trabalho quanto o MLflow usam esse armazenamento. Você pode configurar esse armazenamento para usar chaves gerenciadas pelo cliente.
  • Os recursos que o Azure Databricks cria diretamente em seu nome incluem a imagem do modelo e o armazenamento de computação efêmero sem servidor. Eles são criptografados com chaves gerenciadas pelo Databricks e não suportam chaves gerenciadas pelo cliente.

As chaves gerenciadas pelo cliente para armazenamento em disco gerenciado não se aplicam a recursos de computação sem servidor. Os discos para recursos de computação sem servidor são de curta duração e vinculados ao ciclo de vida da carga de trabalho sem servidor. Quando os recursos de computação são interrompidos ou reduzidos, as VMs e seu armazenamento são destruídos.