Zarządzane przez klienta klucze do usług zarządzanych
Uwaga
Ta funkcja wymaga planu Premium.
Aby uzyskać dodatkową kontrolę nad danymi, możesz dodać własny klucz, aby chronić i kontrolować dostęp do niektórych typów danych. Usługa Azure Databricks ma trzy kluczowe funkcje zarządzane przez klienta dla różnych typów danych i lokalizacji. Aby je porównać, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania.
Dane usług zarządzanych na płaszczyźnie sterowania usługi Azure Databricks są szyfrowane w spoczynku. Możesz dodać klucz zarządzany przez klienta dla usług zarządzanych, aby chronić i kontrolować dostęp do następujących typów zaszyfrowanych danych:
- Źródło notesu na płaszczyźnie sterowania usługi Azure Databricks
- Wyniki notesów są uruchamiane interaktywnie (a nie jako zadania), które są przechowywane na płaszczyźnie sterowania. Domyślnie większe wyniki są również przechowywane w zasobniku głównym obszaru roboczego. Usługę Azure Databricks można skonfigurować do przechowywania wszystkich wyników notesu interaktywnego na koncie chmury.
- Wpisy tajne przechowywane przez interfejsy API menedżera wpisów tajnych.
- Zapytania SQL i historia zapytań usługi Databricks.
- Osobiste tokeny dostępu (PAT) lub inne poświadczenia używane do konfigurowania integracji usługi Git z folderami Git usługi Databricks.
Po dodaniu klucza zarządzanego przez klienta na potrzeby szyfrowania usług zarządzanych dla obszaru roboczego usługa Azure Databricks używa klucza do kontrolowania dostępu do klucza, który szyfruje przyszłe operacje zapisu w danych usług zarządzanych obszaru roboczego. Istniejące dane nie są ponownie szyfrowane. Klucz szyfrowania danych jest buforowany w pamięci dla kilku operacji odczytu i zapisu oraz eksmitowany z pamięci w regularnych odstępach czasu. Nowe żądania dotyczące tych danych wymagają innego żądania do systemu zarządzania kluczami usługi w chmurze. Jeśli usuniesz lub odwołasz klucz, odczyt lub zapis w chronionych danych zakończy się niepowodzeniem na końcu przedziału czasu pamięci podręcznej. Klucz zarządzany przez klienta można później obracać (aktualizować).
Ważne
Jeśli obrócisz klucz, musisz zachować stary klucz dostępny przez 24 godziny.
Ta funkcja nie szyfruje danych przechowywanych poza płaszczyzną sterowania. Aby zaszyfrować dane na koncie magazynu obszaru roboczego, zapoznaj się z tematem Klucze zarządzane przez klienta dla katalogu głównego systemu plików DBFS.
Klucze zarządzane przez klienta można włączyć przy użyciu magazynów usługi Azure Key Vault lub modułów HSM usługi Azure Key Vault: