Klucze zarządzane przez klienta dla usług zarządzanych

Notatka

Ta funkcja wymaga planu Premium.

Aby uzyskać dodatkową kontrolę nad danymi, możesz dodać własny klucz, aby chronić i kontrolować dostęp do niektórych typów danych. Usługa Azure Databricks ma trzy kluczowe funkcje zarządzane przez klienta dla różnych typów danych i lokalizacji. Aby je porównać, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania.

Dane usług zarządzanych w usłudze Azure Databricks płaszczyzny sterowania są szyfrowane w spoczynku. Możesz dodać klucz zarządzany przez klienta dla usług zarządzanych, aby chronić i kontrolować dostęp do następujących typów zaszyfrowanych danych:

• Źródło notatnika w warstwie zarządzania usługi Azure Databricks
• Wyniki notatników uruchamianych interaktywnie (a nie jako zadania) są przechowywane na płaszczyźnie kontrolnej. Domyślnie większe wyniki są również przechowywane w głównym zasobniku przestrzeni roboczej. Usługę Azure Databricks można skonfigurować tak, aby przechowywać wszystkie wyniki notesu interaktywnego na koncie w chmurze.
• Wpisy tajne przechowywane przez interfejsy API menedżera wpisów tajnych .
• Databricks SQL zapytań i historii zapytań.
• Osobiste tokeny dostępu (PAT) lub inne poświadczenia używane do konfigurowania integracji usługi Git z folderami usługi Databricks Git.

Po dodaniu klucza zarządzanego przez klienta do szyfrowania usług zarządzanych w obszarze roboczym, Azure Databricks używa tego klucza do kontrolowania dostępu do klucza, który szyfruje przyszłe operacje zapisu danych w usługach zarządzanych tego obszaru roboczego. Istniejące dane nie są ponownie szyfrowane. Klucz szyfrowania danych jest buforowany w pamięci dla kilku operacji odczytu i zapisu oraz eksmitowany z pamięci w regularnych odstępach czasu. Nowe żądania dotyczące tych danych wymagają innego żądania do systemu zarządzania kluczami usługi w chmurze. Jeśli usuniesz lub odwołasz klucz, odczyt lub zapis w chronionych danych zakończy się niepowodzeniem na końcu przedziału czasu pamięci podręcznej. Klucz zarządzany przez klienta można później obracać (aktualizować).

Ważny

Jeśli obrócisz klucz, musisz zachować stary klucz dostępny przez 24 godziny.

Ta funkcja nie szyfruje danych przechowywanych poza płaszczyzną sterowania . Aby zaszyfrować dane na koncie magazynu obszaru roboczego, zapoznaj się z Kluczami zarządzanymi przez klienta dlagłównego katalogu DBFS.

Klucze zarządzane przez klienta można włączyć przy użyciu magazynów usługi Azure Key Vault lub modułów HSM usługi Azure Key Vault:

• Włączanie kluczy zarządzanych przez klienta dla usług zarządzanych
• Włącz klucze zarządzane przez klienta (Customer-Managed Keys) w module HSM dla usług zarządzanych