Chaves gerenciadas pelo cliente para serviços gerenciados
Observação
Esse recurso requer o plano Premium.
Para ter controle adicional de seus dados, adicione sua própria chave para proteger e controlar o acesso a alguns tipos de dados. O Azure Databricks possui três recursos principais gerenciados pelo cliente para diferentes tipos de dados e locais. Para compará-los, confira Chaves gerenciadas pelo cliente para criptografia.
Os dados de serviços gerenciados no plano de controle do Azure Databricks são criptografados em repouso. É possível adicionar uma chave gerenciada pelo cliente para serviços gerenciados a fim de ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Fonte do notebook no plano de controle do Azure Databricks
- Os resultados de notebooks executados interativamente (não como trabalhos) armazenados no plano de controle. Por padrão, resultados maiores também são armazenados no bucket raiz do workspace. É possível configurar o Azure Databricks para armazenar todos os resultados de notebook interativos na sua conta de nuvem.
- Segredos armazenados pelas APIs do gerenciador de segredos.
- Consultas e histórico de consultas do SQL do Databricks.
- Tokens de acesso pessoal (PAT) ou outras credenciais usadas para configurar a integração do Git com pastas Git do Databricks.
Depois que você adiciona uma chave gerenciada pelo cliente para criptografia de serviços gerenciados para um espaço de trabalho, o Azure Databricks usa sua chave a fim de controlar o acesso à chave que criptografa operações de gravação futuras nos dados de serviços gerenciados do espaço de trabalho. Os dados existentes não são criptografados novamente. A chave de criptografia de dados é armazenada em cache na memória para várias operações de leitura e gravação e é removida da memória em um intervalo regular. Novas solicitações para esses dados exigem outra solicitação para o sistema de gerenciamento de chaves do serviço de nuvem. Ao excluir ou revogar sua chave, ocorrerá uma falha na leitura ou gravação nos dados protegidos ao final do intervalo de tempo do cache. É possível girar (atualizar) a chave gerenciada pelo cliente posteriormente.
Importante
Se você girar a chave, deverá manter a chave antiga disponível por 24 horas.
Esse recurso não criptografa dados armazenados fora do plano de controle. Para criptografar dados em sua conta de armazenamento do workspace, consulte Chaves gerenciadas pelo cliente para raiz DBFS.
Habilite as chaves gerenciadas pelo cliente usando os cofres ou os HSMs do Azure Key Vault: