Condividi tramite


Chiavi gestite dal cliente per la crittografia

Questo articolo offre una panoramica delle chiavi gestite dal cliente per la crittografia.

Nota

Questa funzionalità richiede il Piano Premium.

Chiavi gestite dal cliente per la panoramica della crittografia

Alcuni servizi e dati supportano l'aggiunta di una chiave gestita dal cliente per proteggere e controllare l'accesso ai dati crittografati. È possibile usare il servizio di gestione delle chiavi nel cloud per gestire una chiave di crittografia gestita dal cliente.

Azure Databricks supporta le chiavi gestite dal cliente da insiemi di credenziali di Azure Key Vault e dal HSM (modulo di protezione hardware) gestito di Azure Key Vault.

Azure Databricks offre tre funzionalità chiave gestite dal cliente per diversi tipi di dati:

Nella tabella seguente sono elencate le funzionalità chiave gestite dal cliente usate per i tipi di dati.

Tipo di dati Posizione Funzionalità chiave gestita dal cliente
Dashboard di AI/BI Piano di controllo Servizi gestiti
Origine e metadati del notebook Piano di controllo Servizi gestiti
Token di accesso personali (PAT) o altre credenziali usate per l'integrazione di Git con le cartelle Git di Databricks Piano di controllo Servizi gestiti
Segreti archiviati dalle API di gestione dei segreti Piano di controllo Servizi gestiti
Query e cronologia delle query SQL di Databricks Piano di controllo Servizi gestiti
Indici e metadati di Ricerca vettoriale Piano di ambiente di elaborazione serverless Servizi gestiti
Dati radice DBFS accessibili dal cliente La radice DBFS del tuo spazio di lavoro nell'account di archiviazione dello spazio di lavoro nella tua sottoscrizione a Azure. Questo include anche l'area FileStore. Radice DBFS
Risultati del lavoro Account di archiviazione dello spazio di lavoro nella tua sottoscrizione di Azure Radice DBFS
Risultati diSQL di Databricks Account di archiviazione della tua area di lavoro nella sottoscrizione di Azure Radice DBFS
Modelli MLflow Account di archiviazione dell'area di lavoro nella tua sottoscrizione di Azure Radice DBFS
DLT Se si utilizza un percorso DBFS nella directory principale di DBFS, questo viene archiviato nell'account di archiviazione dello spazio di lavoro nella sottoscrizione di Azure. Ciò non si applica ai percorsi DBFS che rappresentano punti di montaggio ad altre origini dati. Radice DBFS
Risultati del notebook interattivo Per impostazione predefinita, quando si esegue un notebook in modo interattivo (anziché come processo), i risultati vengono archiviati nel piano di controllo per garantire prestazioni, con alcuni risultati di grandi dimensioni archiviati nell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure. È possibile configurare Azure Databricks per archiviare tutti i risultati interattivi dei notebook nell'account di archiviazione dell'area di lavoro. Vedere Configurare la posizione di archiviazione dei risultati interattivi del notebook. Per ottenere risultati parziali nel piano di controllo, usare una chiave gestita dal cliente per i servizi gestiti. Per ottenere i risultati nell'account di archiviazione dell'area di lavoro, che è possibile configurare per tutti i risultati di archiviazione, utilizzare una chiave gestita dal cliente per la radice DBFS.
Altri dati di sistema legati all'area di lavoro, presenti nell'account di archiviazione e non accessibili tramite DBFS, come le revisioni dei notebook. Account di archiviazione dell’area di lavoro nel tuo abbonamento Azure Radice DBFS
Dischi gestiti Archiviazione su disco temporanea delle macchine virtuali nelle risorse di calcolo, ad esempio i cluster. Si applica solo alle risorse di calcolo nel piano di calcolo classico nella sottoscrizione di Azure. Vedere Elaborazione serverless e chiavi gestite dal cliente. Dischi gestiti

Per una maggiore sicurezza per l'istanza dell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure, è possibile abilitare la doppia crittografia e il supporto del firewall. Vedere Configurare la doppia crittografia per la radice DBFS e Abilitare il supporto del firewall per l'account di archiviazione dell'area di lavoro.

Importante

Solo i dashboard di intelligenza artificiale/BI creati dopo il 1° novembre 2024 sono crittografati e compatibili con le chiavi gestite dal cliente.

Elaborazione serverless e chiavi gestite dal cliente

Databricks SQL Serverless supporta:

Gestione dei modelli

Le risorse per la gestione dei modelli, una funzionalità di elaborazione serverless, sono in genere in due categorie:

  • Le risorse create per il modello vengono archiviate nella radice DBFS dell'area di lavoro nell'archiviazione dell'area di lavoro in ADLSgen2 (per le aree di lavoro precedenti, archiviazione BLOB). Sono inclusi gli artefatti e i metadati della versione del modello. Sia il registro dei modelli dell'area di lavoro che MLflow usano questa risorsa di archiviazione. È possibile configurare questa risorsa di archiviazione per l'uso delle chiavi gestite dal cliente.
  • Le risorse create da Azure Databricks direttamente per conto dell'utente includono l'immagine del modello e l'archiviazione temporanea di elaborazione serverless. Queste chiavi vengono crittografate con chiavi gestite da Databricks e non supportano le chiavi gestite dal cliente.

Le chiavi gestite dal cliente per l'archiviazione su disco gestitonon si applicano alle risorse di elaborazione serverless. I dischi usati per le risorse di elaborazione serverless sono di breve durata e legati al ciclo di vita del carico di lavoro serverless. Quando le risorse di calcolo vengono arrestate o ridimensionate, le VM e le relative risorse di archiviazione vengono eliminate definitivamente.