Partilhar via


Chaves geridas pelo cliente para serviços geridos

Nota

Este recurso requer o plano Premium.

Para um controlo adicional dos seus dados, pode adicionar a sua própria chave para proteger e controlar o acesso a alguns tipos de dados. O Azure Databricks tem três recursos principais gerenciados pelo cliente para diferentes tipos de dados e locais. Para compará-los, consulte Chaves gerenciadas pelo cliente para criptografia.

Os dados de serviços gerenciados no plano de controle do Azure Databricks são criptografados em repouso. Você pode adicionar uma chave gerenciada pelo cliente para serviços gerenciados para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:

Depois de adicionar uma chave gerenciada pelo cliente para criptografia de serviços gerenciados para um espaço de trabalho, o Azure Databricks usa sua chave para controlar o acesso à chave que criptografa operações de gravação futuras nos dados de serviços gerenciados do seu espaço de trabalho. Os dados existentes não são criptografados novamente. A chave de criptografia de dados é armazenada em cache na memória para várias operações de leitura e gravação e removida da memória em um intervalo regular. Novas solicitações para esses dados exigem outra solicitação para o sistema de gerenciamento de chaves do seu serviço de nuvem. Se você excluir ou revogar sua chave, a leitura ou gravação nos dados protegidos falhará no final do intervalo de tempo do cache. Você pode girar (atualizar) a chave gerenciada pelo cliente posteriormente.

Importante

Se você girar a chave, você deve manter a chave antiga disponível por 24 horas.

Esse recurso não criptografa dados armazenados fora do plano de controle. Para criptografar dados em sua conta de armazenamento de espaço de trabalho, consulte Chaves gerenciadas pelo cliente para raiz DBFS.

Você pode habilitar chaves gerenciadas pelo cliente usando os cofres do Azure Key Vault ou HSMs do Azure Key Vault: