Ключи, управляемые клиентом для управляемых служб

Заметка

Для этой функции требуется план Premium.

Для дополнительного управления данными можно добавить собственный ключ для защиты и управления доступом к некоторым типам данных. Azure Databricks имеет три основные функции, управляемые клиентом, для различных типов данных и расположений. Чтобы сравнить их, см. раздел Ключи, управляемые клиентом, для шифрования.

Данные управляемых служб в уровня управления Azure Databricks шифруются неактивных данных. Вы можете добавить управляемый клиентом ключ для управляемых служб, чтобы защитить и контролировать доступ к следующим типам зашифрованных данных:

• Источник записной книжки в плоскости управления Azure Databricks
• Результаты ноутбуков, которые работают в интерактивном режиме (а не как задания), хранятся в системе управления. По умолчанию большие результаты также хранятся в корневом контейнере рабочей области. Вы можете настроить Azure Databricks для хранения всех результатов интерактивных блокнотов воблачной учетной записи.
• Секреты, хранящиеся менеджером секретов API .
• Databricks SQL запросы и журнал запросов.
• Личные маркеры доступа (PAT) или другие учетные данные, используемые для настройки интеграции Git с папками Databricks Git.

После того как вы добавите ключ, управляемый клиентом, для шифрования данных управляемых служб в рабочей области, Azure Databricks использует этот ключ для управления доступом к ключу, который шифрует все будущие операции записи данных в управляемые службы вашей рабочей области. Существующие данные не шифруются повторно. Ключ шифрования данных кэшируется в памяти для нескольких операций чтения и записи и вытеснения из памяти через регулярный интервал. Новые запросы к этим данным требуют другого запроса к системе управления ключами облачной службы. При удалении или аннулировании ключа чтение и запись в защищенные данные завершаются сбоем в конце времени хранения в кэше. Вы можете сменить (обновить) управляемый клиентом ключ позже.

Важное

В случае поворота ключа, необходимо обеспечить доступность старого ключа в течение 24 часов.

Эта функция не шифрует данные, хранящиеся за пределамиуровня управления . Чтобы зашифровать данные в учетной записи хранения вашей рабочей области, обратитесь к ключам, управляемым клиентом, для корневого раздела DBFS.

Ключи, управляемые клиентом, можно включить с помощью хранилищ Azure Key Vault или HSM Azure Key Vault:

• Включить управляемые клиентом ключи для управляемых служб
• Включить ключи, управляемые клиентом HSM, для управляемых служб