Chiavi gestite dal cliente per i servizi gestiti
Nota
Questa funzionalità richiede il piano Premium.
Per un controllo aggiuntivo dei dati, è possibile aggiungere la propria chiave per proteggere e controllare l'accesso ad alcuni tipi di dati. Azure Databricks offre tre funzionalità chiave gestite dal cliente per diversi tipi di dati e posizioni. Per confrontarli, vedere chiavi gestite dal cliente per la crittografia.
I dati dei servizi gestiti nel piano di controllo di Azure Databricks sono crittografati a riposo. È possibile aggiungere una chiave gestita dal cliente per i servizi gestiti per proteggere e controllare l'accesso ai tipi di dati crittografati seguenti:
- Sorgente notebook nel piano di controllo di Azure Databricks
- I risultati del notebook per i notebook vengono eseguiti in modo interattivo (non come processi) archiviati nel piano di controllo. Per impostazione predefinita, anche i risultati più grandi vengono archiviati nel bucket radice dell'area di lavoro. È possibile configurare Azure Databricks per archiviare tutti i risultati interattivi del notebook nell'account cloud.
- I segreti archiviati dalle API di gestione dei segreti .
- Query e cronologia delle query di Databricks SQL .
- Token di accesso personali (PAT) o altre credenziali usate per configurare l'integrazione git con le cartelle Git di Databricks.
Dopo aver aggiunto una chiave gestita dal cliente per la crittografia dei servizi gestiti per un'area di lavoro, Azure Databricks usa la chiave per controllare l'accesso alla chiave che crittografa le operazioni di scrittura future nei dati dei servizi gestiti dell'area di lavoro. I dati esistenti non vengono crittografati nuovamente. La chiave di crittografia dei dati viene memorizzata nella cache in memoria per diverse operazioni di lettura e scrittura e rimossa dalla memoria a intervalli regolari. Le nuove richieste per tali dati richiedono un'altra richiesta al sistema di gestione delle chiavi del servizio cloud. Se si elimina o revoca la chiave, la lettura o la scrittura dei dati protetti non riesce alla fine dell'intervallo di tempo della cache. È possibile ruotare (aggiornare) la chiave gestita dal cliente in un secondo momento.
Importante
Se si ruota la chiave, è necessario mantenere disponibile la chiave precedente per 24 ore.
Questa funzionalità non crittografa i dati archiviati all'esterno del piano di controllo . Per crittografare i dati nell'account di archiviazione dell'area di lavoro, fare riferimento a chiavi gestite dal cliente per DBFS root.
È possibile abilitare le chiavi gestite dal cliente usando Azure Key Vault o i moduli di protezione hardware (HSM) di Azure Key Vault.