Použití klíčů spravovaných zákazníkem k šifrování
Tento článek obsahuje přehled klíčů spravovaných zákazníkem pro šifrování.
Poznámka:
Tato funkce vyžaduje plán Premium.
Přehled klíčů spravovaných zákazníkem pro šifrování
Některé služby a data podporují přidání klíče spravovaného zákazníkem, který pomáhá chránit a řídit přístup k šifrovaným datům. Službu správy klíčů ve vašem cloudu můžete použít k údržbě šifrovacího klíče spravovaného zákazníkem.
Azure Databricks podporuje klíče spravované zákazníkem z trezorů služby Azure Key Vault a spravovaného HSM služby Azure Key Vault (Hardware Security Modules).
Služba Azure Databricks má tři klíčové funkce spravované zákazníkem pro různé typy dat:
- Klíče spravované zákazníkem ke spravovaným diskům Azure:
- Klíče spravované zákazníkem ke spravovaným službám:
- Klíče spravované zákazníkem pro kořen DBFS
Následující tabulka uvádí, které klíčové funkce spravované zákazníkem se používají pro typy dat.
| Typ dat | Umístění | Funkce klíče spravovaného zákazníkem |
|---|---|---|
| Řídicí panely AI/BI | Řídicí rovina | Spravované služby |
| Zdroj poznámkového bloku a metadata | Řídicí rovina | Spravované služby |
| Osobní přístupové tokeny (PAT) nebo jiné přihlašovací údaje používané k integraci Gitu se složkami Databricks Git | Řídicí rovina | Spravované služby |
| Tajné kódy uložené rozhraními API správce tajných kódů | Řídicí rovina | Spravované služby |
| Dotazy a historie dotazů SQL služby Databricks | Řídicí rovina | Spravované služby |
| Vektorové vyhledávání indexy a metadata | Bezserverová výpočetní rovina | Spravované služby |
| Kořenová data DBFS přístupná zákazníkem | Kořen DBFS ve vašem pracovním prostoru, v účtu úložiště ve vašem předplatném Azure. To zahrnuje také oblast FileStore. | Kořenový adresář DBFS |
| Výsledky úloh | Účet úložiště pracovního prostoru ve vašem předplatném Azure | Kořenový adresář DBFS |
| Databricks SQL výsledky | Účet pro úložiště pracovního prostoru ve vašem předplatném Azure | Kořenový adresář DBFS |
| Modely MLflow | Účet úložiště pracovního prostoru ve vašem předplatném Azure | Kořenový adresář DBFS |
| DLT | Pokud použijete cestu DBFS ve svém kořenovém adresáři DBFS, uloží se tato cesta v účtu úložiště vašeho pracovního prostoru v rámci předplatného Azure. To neplatí pro cesty DBFS, které představují přípojné body k jiným zdrojům dat. | Kořenový adresář DBFS |
| Výsledky interaktivního poznámkového bloku | Pokud ve výchozím nastavení spustíte poznámkový blok interaktivně (nikoli jako úlohu), uloží se výsledky v řídicí rovině výkonu s některými velkými výsledky uloženými v účtu úložiště pracovního prostoru ve vašem předplatném Azure. Můžete nakonfigurovat Azure Databricks tak, aby ukládaly všechny výsledky interaktivních poznámkových bloků do účtu úložiště pracovního prostoru. Viz Konfigurace umístění úložiště pro interaktivní výsledky poznámkového bloku. | V případě částečných výsledků v řídicí rovině použijte klíč spravovaný zákazníkem pro spravované služby. Pro výsledky v úložišti pracovního prostoru, které můžete nakonfigurovat pro veškeré ukládání výsledků, použijte zákazníkem spravovaný klíč pro kořen DBFS. |
| Jiná systémová data pracovního prostoru v účtu úložiště pracovního prostoru, která jsou nepřístupná prostřednictvím systému souborů DBFS, jako jsou revize poznámkových bloků. | Úložiště pracovního prostoru ve vašem předplatném Azure | Kořenový adresář DBFS |
| Spravované disky | Dočasné diskové úložiště virtuálních počítačů ve výpočetních prostředcích, jako jsou clustery. Platí jenom pro výpočetní prostředky v klasické výpočetní rovině ve vašem předplatném Azure. Viz Bezserverové výpočetní prostředky a klíče spravované zákazníkem. | Spravované disky |
Pro dodatečné zabezpečení instance účtu úložiště ve vašem předplatném Azure můžete povolit dvojité šifrování a podporu brány firewall. Viz Konfigurace dvojitého šifrování pro kořen DBFS a Povolení podpory brány firewall pro váš účet úložiště pracovního prostoru.
Důležité
Po 1. listopadu 2024 jsou šifrovány a kompatibilní s klíči řízenými zákazníkem pouze řídicí panely AI/BI vytvořené po tomto datu.
Bezserverové výpočetní prostředky a klíče spravované zákazníkem
Databricks SQL Serverless podporuje:
Klíče spravované zákazníkem pro spravované služby pro dotazy a historii dotazů Databricks SQL
Klíče spravované zákazníkem pro úložiště DBFS root pro výsledky Databricks SQL
Klíče spravované zákazníkem pro úložiště spravovaných disků se nevztahují na bezserverové výpočetní prostředky. Disky pro bezserverové výpočetní prostředky jsou krátkodobé a svázané s životním cyklem bezserverové úlohy. Když jsou výpočetní prostředky zastavené nebo zmenšené, virtuální počítače a jejich datová úložiště se odstraní.
Obsluha modelu
Prostředky pro obsluhu modelů, bezserverová výpočetní funkce, jsou obecně ve dvou kategoriích:
- Prostředky, které vytvoříte pro model, se ukládají v kořenovém adresáři DBFS vašeho pracovního prostoru v úložišti pracovního prostoru v ADLSgen2 (pro starší pracovní prostory, úložiště objektů blob). To zahrnuje artefakty modelu a metadata verzí. Toto úložiště používají registr modelu pracovního prostoru i MLflow. Toto úložiště můžete nakonfigurovat tak, aby používalo klíče spravované zákazníkem.
- Prostředky, které Azure Databricks vytváří přímo vaším jménem, zahrnují image modelu a dočasné výpočetní úložiště bez serveru. Ty jsou šifrované pomocí klíčů spravovaných službou Databricks a nepodporují klíče spravované zákazníkem.
Klíče spravované zákazníkem pro úložiště spravovaných disků se nevztahují na bezserverové výpočetní prostředky. Disky pro bezserverové výpočetní prostředky jsou krátkodobé a svázané s životním cyklem bezserverové úlohy. Když jsou výpočetní prostředky zastavené nebo škálovány dolů, virtuální počítače a jejich úložiště jsou zničené.