Compartir a través de


Claves administradas por el cliente para procesos de cifrado

En este artículo se proporciona información general sobre las claves administradas por el cliente para el cifrado.

Nota:

Esta característica requiere el plan Premium.

Introducción a las claves administradas por el cliente para el cifrado

Algunos servicios y compatibilidad con datos agregan una clave administrada por el cliente para ayudar a proteger y controlar el acceso a los datos cifrados. Puede usar el servicio de administración de claves en la nube para mantener una clave de cifrado administrada por el cliente.

Azure Databricks admite claves administradas por el cliente desde almacenes de Azure Key Vault y HSM administrados de Azure Key Vault (módulos de seguridad de hardware).

Azure Databricks tiene tres características clave administradas por el cliente para diferentes tipos de datos:

En la tabla siguiente se enumeran las características clave administradas por el cliente que se usan según el tipo de datos.

Tipo de datos Location Característica de clave administrada por el cliente
Paneles de IA o BI Plano de control Servicios administrados
Origen y metadatos de Notebook Plano de control Servicios administrados
Tokens de acceso personal (PAT) u otras credenciales que se usan para integración de Git con carpetas de Git de Databricks Plano de control Servicios administrados
Secretos almacenados por las API del administrador de secretos Plano de control Servicios administrados
Consultas e historial de consultas de Databricks SQL Plano de control Servicios administrados
Índice de vectores de búsqueda y de metadatos Plano de proceso sin servidor Servicios administrados
Datos raíz de DBFS accesibles para el cliente La raíz de DBFS del área de trabajo en la cuenta de almacenamiento del área de trabajo en la suscripción de Azure. Esto también incluye el área FileStore. Raíz de DBFS
Resultados del trabajo Cuenta de almacenamiento del área de trabajo en la suscripción de Azure Raíz de DBFS
Resultados de Databricks SQL Cuenta de almacenamiento del área de trabajo en la suscripción de Azure Raíz de DBFS
Modelos de MLflow Cuenta de almacenamiento del área de trabajo en la suscripción de Azure Raíz de DBFS
Delta Live Table Si usa una ruta de acceso de DBFS en la raíz de DBFS, se almacena en la cuenta de almacenamiento del área de trabajo en la suscripción de Azure. Esto no se aplica a las rutas de acceso de DBFS que representan puntos de montaje a otros orígenes de datos. Raíz de DBFS
Resultados interactivos de cuadernos De forma predeterminada, cuando se ejecuta un cuaderno de forma interactiva (en lugar de como trabajo), los resultados se almacenan en el plano de control para obtener un rendimiento con algunos resultados grandes almacenados en la cuenta de almacenamiento del área de trabajo de la suscripción de Azure. Puede configurar Azure Databricks para almacenar todos los resultados de cuadernos interactivos en su cuenta de almacenamiento del área de trabajo. Consulte Configuración de la ubicación de almacenamiento para los resultados interactivos del cuaderno. Para obtener resultados parciales en el plano de control, use una clave administrada por el cliente para los servicios administrados. Para obtener resultados en la cuenta de almacenamiento del área de trabajo, que puede configurar para todo el almacenamiento de resultados, use una clave administrada por el cliente para raíz de DBFS.
Otros datos del sistema del área de trabajo de la cuenta de almacenamiento del área de trabajo inaccesibles a través de DBFS, como las revisiones del cuaderno. Cuenta de almacenamiento del área de trabajo en la suscripción de Azure Raíz de DBFS
Discos administrados Almacenamiento temporal en disco de máquinas virtuales en recursos de proceso, como clústeres. Solo se aplica a los recursos de proceso del plano de proceso clásico de la suscripción de Azure. Consulte Claves administradas por el cliente y proceso sin servidor. Discos administrados

Para mayor seguridad para la instancia de la cuenta de almacenamiento del área de trabajo de la suscripción de Azure, puede habilitar el cifrado doble y el soporte de firewall. Consulte Configurar el cifrado doble para la raíz DBFS y Habilitar el soporte de firewall para su cuenta de almacenamiento del área de trabajo.

Importante

Solo los paneles de INTELIGENCIA ARTIFICIAL y BI creados después del 1 de noviembre de 2024 se cifran y son compatibles con las claves administradas por el cliente.

Claves administradas por el cliente y proceso sin servidor

Databricks SQL sin servidor admite:

Servicio de modelos

Los recursos para Servicio de modelos, una característica de proceso sin servidor, generalmente se encuentran en dos categorías:

  • Los recursos que cree para el modelo se almacenan en la raíz de DBFS del área de trabajo, en el almacenamiento del área de trabajo en ADLSgen2 (para áreas de trabajo anteriores, Blob Storage). Esto incluye los artefactos del modelo y los metadatos de versión. Tanto el registro del modelo de área de trabajo como MLflow usan este almacenamiento. Puede configurar este almacenamiento para que use claves administradas por el cliente.
  • Los recursos que Azure Databricks crea directamente en su nombre incluyen la imagen del modelo y el almacenamiento de proceso sin servidor efímero. Se cifran con claves administradas por Databricks y no admiten claves administradas por el cliente.

Las claves administradas por el cliente para el almacenamiento en disco administradono se aplican a los recursos de proceso sin servidor. Los discos para los recursos de procesos sin servidor duran poco y están vinculados al ciclo de vida de la carga de trabajo sin servidor. Cuando los recursos de procesos se detienen o se reducen verticalmente, se destruyen las máquinas virtuales y su almacenamiento.