Klíče spravované zákazníkem pro kořen DBFS
Poznámka:
Tato funkce je dostupná jenom v plánu Premium.
Pro další kontrolu nad daty můžete přidat vlastní klíč pro ochranu a řízení přístupu k některým typům dat. Azure Databricks má dvě klíčové funkce spravované zákazníkem, které zahrnují různé typy dat a umístění. Porovnání najdete v tématu Klíče spravované zákazníkem pro šifrování.
Ve výchozím nastavení se účet úložiště šifruje pomocí klíčů spravovaných Microsoftem. Jakmile přidáte klíč spravovaný zákazníkem pro kořen DBFS, služba Azure Databricks použije váš klíč k šifrování všech dat v kořenovém úložišti objektu blob pracovního prostoru.
- Účet úložiště pracovního prostoru obsahuje kořen DBFS vašeho pracovního prostoru, což je výchozí umístění v DBFS. Systém souborů Databricks (DBFS) je distribuovaný systém souborů připojený k pracovnímu prostoru Azure Databricks a dostupný v clusterech Azure Databricks. DBFS se implementuje jako instance úložiště objektů blob ve spravované skupině prostředků pracovního prostoru Azure Databricks. Účet úložiště pracovního prostoru zahrnuje modely MLflow a data Delta Live Table v kořenovém adresáři DBFS (ale ne pro připojení DBFS).
- Účet úložiště pracovního prostoru obsahuje také systémová data vašeho pracovního prostoru (nepřístupná přímo pro vás pomocí cest DBFS), která zahrnují výsledky úloh, výsledky Databricks SQL, revize poznámkových bloků a jiná data pracovního prostoru.
Důležité
Tato funkce ovlivňuje kořen DBFS, ale nepoužívá se k šifrování dat u dalších připojení DBFS, jako jsou připojení DBFS dalších objektů blob nebo úložiště ADLS. Připojení jsou starší verzí modelu přístupu. Databricks doporučuje používat katalog Unity ke správě veškerého přístupu k datům. Viz Připojení ke cloudovému úložišti objektů a službám pomocí katalogu Unity.
K ukládání klíčů spravovaných zákazníkem musíte použít službu Azure Key Vault. Klíče můžete ukládat do trezorů služby Azure Key Vault nebo do modulů hardwarového zabezpečení (HSM) služby Azure Key Vault. Další informace o trezorech a modulech HSM služby Azure Key Vault najdete v tématu o klíčích služby Key Vault. Existují různé pokyny pro použití trezorů služby Azure Key Vault a hsM služby Azure Key Vault.
Key Vault musí být ve stejném tenantovi Azure jako váš pracovní prostor Azure Databricks.
Klíče spravované zákazníkem můžete pro svůj účet úložiště pracovního prostoru povolit pomocí trezorů služby Azure Key Vault třemi různými způsoby:
- Konfigurace klíčů spravovaných zákazníkem pro kořen DBFS s využitím webu Azure Portal
- Konfigurace klíčů spravovaných zákazníkem pro kořen DBFS s využitím Azure CLI
- Konfigurace klíčů spravovaných zákazníkem pro kořen DBFS s využitím PowerShellu
Klíče spravované zákazníkem můžete také povolit pomocí hsM služby Azure Key Vault pro váš účet úložiště pracovního prostoru třemi různými způsoby: