Ключи, управляемые клиентом, для корневого каталога DBFS
Примечание.
Эта функция доступна только в плане Premium.
Чтобы расширить возможности управления данными, можно добавить собственный ключ для защиты доступа к определенным типам данных и управления им. Azure Databricks предлагает два варианта ключей, управляемых клиентом, для разных типов данных и расположений. Их сравнение можно найти в статье Ключи для шифрования, управляемые клиентом.
По умолчанию учетная запись хранения шифруется с помощью ключей, управляемых корпорацией Майкрософт. После добавления ключа, управляемого клиентом для корневого каталога DBFS, Azure Databricks использует ключ для шифрования всех данных в корневом хранилище BLOB-объектов рабочей области.
- Учетная запись хранения рабочей области содержит корневой каталог DBFS рабочей области, который является расположением по умолчанию в DBFS. Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализуется как экземпляр хранилища BLOB-объектов в группе управляемых ресурсов рабочей области Azure Databricks. Учетная запись хранения рабочей области содержит данные MLflow Models и Delta Live Table в корневом каталоге DBFS (но не для подключений DBFS).
- Учетная запись хранения рабочей области также включает системные данные рабочей области (не доступные напрямую для вас с помощью путей DBFS), в том числе результаты задания, результаты Databricks SQL, редакции записной книжки и некоторые другие данные рабочей области.
Внимание
Эта возможность влияет на корневой каталог DBFS, но не используется для шифрования данных в дополнительных подключениях DBFS, например в дополнительном хранилище BLOB-объектов или Azure Data Lake Storage. Подключения — это устаревший шаблон доступа. Databricks рекомендует использовать каталог Unity для управления доступом ко всем данным. См. статью "Подключение к облачному хранилищу объектов и службам с помощью каталога Unity".
Для их хранения используйте Azure Key Vault. Вы можете хранить ключи в хранилищах Azure Key Vault или управляемых аппаратных модулях безопасности Хранилища ключей Azure (HSM). Дополнительные сведения о хранилищах Ключей Azure и HSM см. в статье "Сведения о ключах Key Vault". Существуют различные инструкции по использованию хранилищ Azure Key Vault и HSM Azure Key Vault.
Хранилище ключей должно находиться в том же клиенте Azure, что и рабочая область Azure Databricks.
Вы можете включить управляемые клиентом ключи с помощью хранилищ Azure Key Vault для учетной записи хранения рабочей области тремя способами:
- настройка ключей, управляемых клиентом, для DBFS с помощью портала Azure;
- настройка ключей, управляемых клиентом, для DBFS с помощью Azure CLI;
- настройка ключей, управляемых клиентом, для DBFS с помощью PowerShell.
Вы также можете включить управляемые клиентом ключи с помощью HSM Azure Key Vault для учетной записи хранения рабочей области тремя способами: