Kundhanterade nycklar för hanterade tjänster
Anmärkning
Den här funktionen kräver Premium-plan.
Om du vill ha ytterligare kontroll över dina data kan du lägga till din egen nyckel för att skydda och kontrollera åtkomsten till vissa typer av data. Azure Databricks har tre kundhanterade nyckelfunktioner för olika typer av data och platser. Om du vill jämföra dem kan du läsa Kundhanterade nycklar för kryptering.
Hanterade tjänstdata i Azure Databricks kontrollplanet krypteras i vila. Du kan lägga till en kundhanterad nyckel för hanterade tjänster för att skydda och kontrollera åtkomsten till följande typer av krypterade data:
- Notebook-källa i kontrollplanet för Azure Databricks
- Notebook-resultat för notebooks som körs interaktivt (inte som jobb) som lagras i kontrollplanet. Som standard lagras även större resultat i arbetsytans rot bucket. Du kan konfigurera Azure Databricks för att lagra alla interaktiva notebook-resultat i ditt molnkonto.
- Hemligheter som lagras av API:erna för secret manager.
- Databricks SQL sökfrågor och frågehistorik.
- Personliga åtkomsttokener (PAT) eller andra credentials som används för att set Git-integrering med Databricks Git-mappar.
När du har lagt till en kundhanterad nyckel för kryptering av hanterade tjänster för en arbetsyta använder Azure Databricks din nyckel för att styra åtkomsten till nyckeln som krypterar framtida skrivåtgärder till arbetsytans hanterade tjänstdata. Befintliga data krypteras inte igen. Datakrypteringsnyckeln cachelagras i minnet för flera läs- och skrivåtgärder och avlägsnas från minnet med jämna mellanrum. Nya begäranden för dessa data kräver en annan begäran till molntjänstens nyckelhanteringssystem. Om du tar bort eller revoke din nyckel misslyckas läsning eller skrivning till skyddade data i slutet av cachetidsintervallet. Du kan rotera (update) den kundhanterade nyckeln vid ett senare tillfälle.
Viktig
Om du roterar nyckeln måste du ha den gamla nyckeln tillgänglig i 24 timmar.
Den här funktionen krypterar inte data som lagras utanför kontrollplanet. Information om hur du krypterar data i lagringskontot för arbetsytan finns i Kundhanterade nycklar för DBFS-rot.
Du kan aktivera kundhanterade nycklar med hjälp av Azure Key Vault-valv eller Azure Key Vault HSM:er: