Ключи, управляемые клиентом для управляемых служб

Заметка

Для этой функции требуется план Premium.

Для дополнительного управления данными можно добавить собственный ключ для защиты и управления доступом к некоторым типам данных. Azure Databricks имеет три основные функции, управляемые клиентом, для различных типов данных и расположений. Чтобы сравнить их, см. раздел Ключи, управляемые клиентом, для шифрования.

Данные управляемых служб в уровня управления Azure Databricks шифруются неактивных данных. Вы можете добавить управляемый клиентом ключ для управляемых служб, чтобы защитить и контролировать доступ к следующим типам зашифрованных данных:

• Источник записной книжки в плоскости управления Azure Databricks
• Результаты ноутбуков, которые работают в интерактивном режиме (а не как задания), хранятся в системе управления. По умолчанию большие результаты также хранятся в корневом контейнере рабочей области. Вы можете настроить Azure Databricks для хранения всех результатов интерактивных блокнотов воблачной учетной записи.
• Секреты, хранящиеся менеджером секретов API .
• Databricks SQL запросы и журнал запросов.
• Персональные токены доступа (PAT) или другие credentials, используемые для set интеграции Git с папками Databricks Git.

После того как вы добавите ключ, управляемый клиентом, для шифрования данных управляемых служб в рабочей области, Azure Databricks использует этот ключ для управления доступом к ключу, который шифрует все будущие операции записи данных в управляемые службы вашей рабочей области. Существующие данные не шифруются повторно. Ключ шифрования данных кэшируется в памяти для нескольких операций чтения и записи и вытеснения из памяти через регулярный интервал. Новые запросы к этим данным требуют другого запроса к системе управления ключами облачной службы. Если вы удалите или revoke ключ, чтение или запись в защищенные данные не будут выполняться после истечения интервала времени кэша. Вы можете сменить (update) управляемый клиентом ключ позже.

Важное

В случае поворота ключа, необходимо обеспечить доступность старого ключа в течение 24 часов.

Эта функция не шифрует данные, хранящиеся за пределамиуровня управления . Чтобы зашифровать данные в учетной записи хранения вашей рабочей области, обратитесь к ключам, управляемым клиентом, для корневого раздела DBFS.

Ключи, управляемые клиентом, можно включить с помощью хранилищ Azure Key Vault или HSM Azure Key Vault:

• Включить управляемые клиентом ключи для управляемых служб
• Включить ключи, управляемые клиентом HSM, для управляемых служб