Použití klíčů spravovaných zákazníkem k šifrování
Tento článek obsahuje přehled klíčů spravovaných zákazníkem pro šifrování.
Poznámka:
Tato funkce vyžaduje plán Premium.
Přehled klíčů spravovaných zákazníkem pro šifrování
Některé služby a data podporují přidání klíče spravovaného zákazníkem, který pomáhá chránit a řídit přístup k šifrovaným datům. Službu správy klíčů ve vašem cloudu můžete použít k údržbě šifrovacího klíče spravovaného zákazníkem.
Azure Databricks podporuje klíče spravované zákazníky z trezorů služby Azure Key Vault a spravovaného HSM služby Azure Key Vault (moduly hardwarového zabezpečení).
Služba Azure Databricks má tři klíčové funkce spravované zákazníkem pro různé typy dat:
- Klíče spravované zákazníkem ke spravovaným diskům Azure:
- Klíče spravované zákazníkem ke spravovaným službám:
- Klíče spravované zákazníkem pro kořen DBFS
Následující tabulka uvádí, které klíčové funkce spravované zákazníkem se používají pro typy dat.
| Typ dat | Umístění | Funkce klíče spravovaného zákazníkem |
|---|---|---|
| Řídicí panely AI/BI | Řídicí rovina | Spravované služby |
| Zdroj poznámkového bloku a metadata | Řídicí rovina | Spravované služby |
| Osobní přístupové tokeny (PAT) nebo jiné přihlašovací údaje používané k integraci Gitu se složkami Databricks Git | Řídicí rovina | Spravované služby |
| Tajné kódy uložené rozhraními API správce tajných kódů | Řídicí rovina | Spravované služby |
| Dotazy a historie dotazů SQL služby Databricks | Řídicí rovina | Spravované služby |
| Indexy a metadata vektorové vyhledávání | Bezserverová výpočetní rovina | Spravované služby |
| Kořenová data DBFS přístupná zákazníkem | Kořen DBFS vašeho pracovního prostoru v účtu úložiště pracovního prostoru ve vašem předplatném Azure. To zahrnuje také oblast FileStore. | Kořenový adresář DBFS |
| Výsledky úloh | Účet úložiště pracovního prostoru ve vašem předplatném Azure | Kořenový adresář DBFS |
| Výsledky SQL Databricks | Účet úložiště pracovního prostoru ve vašem předplatném Azure | Kořenový adresář DBFS |
| Modely MLflow | Účet úložiště pracovního prostoru ve vašem předplatném Azure | Kořenový adresář DBFS |
| Delta Live Table | Pokud v kořenovém adresáři DBFS použijete cestu DBFS, uloží se v účtu úložiště pracovního prostoru ve vašem předplatném Azure. To neplatí pro cesty DBFS, které představují přípojné body k jiným zdrojům dat. | Kořenový adresář DBFS |
| Výsledky interaktivního poznámkového bloku | Pokud ve výchozím nastavení spustíte poznámkový blok interaktivně (nikoli jako úlohu), uloží se výsledky v řídicí rovině výkonu s některými velkými výsledky uloženými v účtu úložiště pracovního prostoru ve vašem předplatném Azure. Můžete nakonfigurovat Azure Databricks tak, aby ukládaly všechny výsledky interaktivních poznámkových bloků do účtu úložiště pracovního prostoru. Viz Konfigurace umístění úložiště pro interaktivní výsledky poznámkového bloku. | V případě částečných výsledků v řídicí rovině použijte klíč spravovaný zákazníkem pro spravované služby. Výsledky v účtu úložiště pracovního prostoru, který můžete nakonfigurovat pro všechna úložiště výsledků, použijte klíč spravovaný zákazníkem pro kořen DBFS. |
| Jiná systémová data pracovního prostoru v účtu úložiště pracovního prostoru, která jsou nepřístupná prostřednictvím systému souborů DBFS, například revizí poznámkových bloků. | Účet úložiště pracovního prostoru ve vašem předplatném Azure | Kořenový adresář DBFS |
| Spravované disky | Dočasné diskové úložiště virtuálních počítačů ve výpočetních prostředcích, jako jsou clustery. Platí jenom pro výpočetní prostředky v klasické výpočetní rovině ve vašem předplatném Azure. Viz Bezserverové výpočetní prostředky a klíče spravované zákazníkem. | Spravované disky |
Kvůli dalšímu zabezpečení instance účtu úložiště pracovního prostoru v předplatném Azure můžete povolit dvojité šifrování a podporu brány firewall. Viz Konfigurace dvojitého šifrování pro kořenový adresář DBFS a povolení podpory brány firewall pro váš účet úložiště pracovního prostoru.
Důležité
1. listopadu 2024 se šifrují a kompatibilní jenom řídicí panely AI/BI vytvořené po 1. listopadu 2024.
Bezserverové výpočetní prostředky a klíče spravované zákazníkem
Bezserverová podpora Databricks SQL:
Klíče spravované zákazníkem pro spravované služby pro dotazy a historii dotazů Databricks SQL
Klíče spravované zákazníkem pro kořenové úložiště DBFS pro výsledky Databricks SQL
Klíče spravované zákazníkem pro úložiště spravovaných disků se nevztahují na bezserverové výpočetní prostředky. Disky pro bezserverové výpočetní prostředky jsou krátkodobé a svázané s životním cyklem bezserverové úlohy. Když jsou výpočetní prostředky zastavené nebo škálované, virtuální počítače a jejich úložiště se zničí.
Obsluha modelu
Prostředky pro obsluhu modelů, bezserverová výpočetní funkce, jsou obecně ve dvou kategoriích:
- Prostředky, které vytvoříte pro model, se ukládají v kořenovém adresáři DBFS vašeho pracovního prostoru v úložišti pracovního prostoru v ADLSgen2 (pro starší pracovní prostory, úložiště objektů blob). To zahrnuje artefakty modelu a metadata verzí. Toto úložiště používají registr modelu pracovního prostoru i MLflow. Toto úložiště můžete nakonfigurovat tak, aby používalo klíče spravované zákazníkem.
- Prostředky, které Azure Databricks vytváří přímo vaším jménem, zahrnují image modelu a dočasné výpočetní úložiště bez serveru. Ty jsou šifrované pomocí klíčů spravovaných službou Databricks a nepodporují klíče spravované zákazníkem.
Klíče spravované zákazníkem pro úložiště spravovaných disků se nevztahují na bezserverové výpočetní prostředky. Disky pro bezserverové výpočetní prostředky jsou krátkodobé a svázané s životním cyklem bezserverové úlohy. Když jsou výpočetní prostředky zastavené nebo škálované, virtuální počítače a jejich úložiště se zničí.