Compartilhar via

Chaves gerenciadas pelo cliente para a raiz do DBFS

  • Artigo

Observação

Esse recurso está disponível somente com o plano Premium.

Para ter controle adicional de seus dados, adicione sua própria chave para proteger e controlar o acesso a alguns tipos de dados. O Azure Databricks tem dois recursos de chave gerenciada pelo cliente que envolvem diferentes tipos de dados e locais. Para fazer uma comparação, confira Chaves gerenciadas pelo cliente para criptografia.

Por padrão, a conta de armazenamento é criptografada com chaves gerenciadas pela Microsoft. Depois de adicionar uma chave gerenciada pelo cliente na raiz do DBFS, o Azure Databricks usa sua chave para criptografar todos os dados no Armazenamento de Blobs raiz do workspace.

  • A conta de armazenamento do workspace contém a raiz DBFS do seu workspace, que é o local padrão no DBFS. O DBFS (Databricks File System) é um sistema de arquivos distribuído montado em um workspace do Azure Databricks e disponível em clusters do Azure Databricks. O DBFS é implementado como uma instância do armazenamento de Blobs no grupo de recursos gerenciados do seu workspace do Azure Databricks. A conta de armazenamento do workspace inclui modelos do MLflow e dados do Delta Live Table na raiz do DBFS (mas não para montagens do DBFS).
  • A conta de armazenamento do workspace também inclui os dados do sistema do workspace (não diretamente acessíveis para você usando caminhos do DBFS), que inclui resultados de trabalho, resultados do SQL do Databricks, revisões de notebook e alguns outros dados do workspace.

Importante

Esse recurso afeta sua raiz DBFS, mas não é usado para criptografar dados em nenhuma montagem do DBFS adicional, como montagens do DBFS da armazenamento de Blobs ou ADLS adicionais. As montagens são um padrão de acesso herdado. O Databricks recomenda usar o Catálogo do Unity para gerenciar todo acesso de dados. Consulte Conectar-se ao armazenamento de objetos e serviços na nuvem usando o Catálogo do Unity.

Você precisa usar o Azure Key Vault para armazenar as chaves gerenciadas pelo cliente. Você pode armazenar suas chaves em cofres do Azure Key Vault ou em Módulos de Segurança de Hardware (HSMs) gerenciados pelo Azure Key Vault. Para saber mais sobre os cofres do Azure Key Vault e os HSMs, confira Sobre as chaves do Key Vault. Existem diferentes instruções para utilizar os cofres do Azure Key Vault e os HSMs do Azure Key Vault.

O Key Vault deve estar no mesmo locatário do Azure que seu espaço de trabalho do Azure Databricks.

Você pode habilitar as chaves gerenciadas pelo cliente utilizando cofres do Microsoft Azure Key Vault para sua conta de armazenamento do workspace de três maneiras diferentes:

Você também pode habilitar as chaves gerenciadas pelo cliente utilizando HSMs do Microsoft Azure Key Vault para sua conta de armazenamento do workspace de três maneiras diferentes: