適用於加密的客戶自控金鑰
本文提供客戶自控金鑰的加密概觀。
注意
此功能需要 進階方案。
用於加密的客戶自控金鑰概觀
某些服務和數據支援新增客戶管理的金鑰,以協助保護及控制加密數據的存取。 您可以使用雲端中的金鑰管理服務來維護客戶管理的加密金鑰。
Azure Databricks 支援來自 Azure 金鑰保存庫 保存庫和 Azure 金鑰保存庫 受控 HSM(硬體安全性模組)的客戶自控密鑰。
Azure Databricks 有三個客戶自控金鑰功能,適用於不同類型的資料:
下表列出哪些客戶管理的主要功能會用於哪一種數據類型。
資料類型 | Location | 客戶管理的金鑰功能 |
---|---|---|
筆記本來源和元數據 | 控制平面 | 受控服務 |
用於 Git 與 Databricks Git 資料夾整合的個人存取令牌 (PAT) 或其他認證 | 控制平面 | 受控服務 |
秘密管理員 API 所儲存的 秘密 | 控制平面 | 受控服務 |
Databricks SQL 查詢和查詢歷程記錄 | 控制平面 | 受控服務 |
向量搜尋 索引和元數據 | 無伺服器計算平面 | 受控服務 |
客戶可存取的 DBFS 根數據 | 工作區的 DBFS 根目錄 位於 Azure 訂用帳戶中的工作區記憶體帳戶中。 這也包含 FileStore 區域。 | DBFS 根目錄 |
作業 結果 | Azure 訂用帳戶中的工作區記憶體帳戶 | DBFS 根目錄 |
Databricks SQL 結果 | Azure 訂用帳戶中的工作區記憶體帳戶 | DBFS 根目錄 |
MLflow 模型 | Azure 訂用帳戶中的工作區記憶體帳戶 | DBFS 根目錄 |
Delta Live Table | 如果您在 DBFS 根目錄中使用 DBFS 路徑,這會儲存在 Azure 訂用帳戶中的工作區記憶體帳戶中。 這不適用於 表示裝入點 至其他數據源的 DBFS 路徑。 | DBFS 根目錄 |
互動式筆記本結果 | 根據預設,當您以互動方式執行筆記本時(而非作業)結果會儲存在控制平面中,以取得效能,而某些大型結果會儲存在 Azure 訂用帳戶中的工作區記憶體帳戶中。 您可以選擇設定 Azure Databricks,將所有互動式筆記本結果儲存在工作區記憶體帳戶中。 請參閱 設定互動式筆記本結果的儲存位置。 | 如需控制平面中的部分結果,請使用客戶管理的密鑰進行 受控服務。 針對工作區記憶體帳戶中的結果,您可以針對所有結果記憶體進行設定,請使用客戶管理的 DBFS 根密鑰。 |
工作區記憶體帳戶中無法透過 DBFS 存取的其他工作區系統數據,例如筆記本修訂。 | Azure 訂用帳戶中的工作區記憶體帳戶 | DBFS 根目錄 |
受控磁碟 | 計算資源中 VM 的暫存磁碟記憶體,例如叢集。 僅適用於 Azure 訂用帳戶中傳統計算平面中的計算資源。 請參閱無伺服器計算和客戶自控金鑰。 | 受控磁碟 |
如需 Azure 訂用帳戶中工作區記憶體帳戶實例的其他安全性,您可以啟用雙重加密和防火牆支援。 請參閱 設定 DBFS 根 目錄的雙重加密和 啟用工作區記憶體帳戶的防火牆支援。
無伺服器計算和客戶管理的金鑰
Databricks SQL 結果之 DBFS 根記憶體 的客戶自控密鑰。
受控磁碟記憶體 的客戶自控金鑰不適用於無伺服器計算資源。 無伺服器計算資源的磁碟是短期的,並系結至無伺服器工作負載的生命週期。 當計算資源停止或相應減少時,VM 及其記憶體會終結。
模型服務
模型服務的資源,無伺服器計算功能,通常分為兩個類別:
- 您為模型建立的資源會儲存在ADLSgen2工作區記憶體的工作區記憶體中工作區的 DBFS 根目錄中(針對較舊的工作區、Blob 記憶體)。 這包括模型的成品和版本元數據。 工作區模型登錄和 MLflow 都會使用此記憶體。 您可以將此記憶體設定為使用客戶管理的金鑰。
- Azure Databricks 直接代表您建立的資源包括模型映射和暫時無伺服器計算記憶體。 這些會使用 Databricks 管理的金鑰加密,且不支援客戶管理的密鑰。
受控磁碟記憶體的客戶自控金鑰不適用於無伺服器計算資源。 無伺服器計算資源的磁碟是短期的,並系結至無伺服器工作負載的生命週期。 當計算資源停止或相應減少時,VM 及其記憶體會終結。