資料安全性與加密
本文介紹數據安全性設定,以協助保護您的數據。
如需保護資料存取權的相關信息,請參閱 使用 Unity 目錄進行資料控管。
數據安全性和加密概觀
Azure Databricks 提供加密功能來協助保護您的數據。 並非所有安全性功能都可在所有定價層上使用。 下表包含功能的概觀,以及它們如何配合定價方案。
| 功能 | 定價層 |
|---|---|
| 適用於加密的客戶自控金鑰 | 高級 |
| 加密叢集背景工作節點之間的流量 | 高級 |
| DBFS 根目錄的雙重加密 | 高級 |
| 加密查詢、查詢歷史記錄和查詢結果 | 高級 |
啟用客戶管理的金鑰以進行加密
Azure Databricks 支援新增客戶管理的金鑰,以協助保護和控制數據的存取。 Azure Databricks 支援來自 Azure 金鑰保存庫 保存庫和 Azure 金鑰保存庫 受控硬體安全性模組 (HSM) 的客戶自控密鑰。 不同類型的數據有三個客戶管理的金鑰功能:
受控磁碟的客戶自控密鑰:計算平面中的 Azure Databricks 計算工作負載會將暫存資料儲存在 Azure 受控磁碟上。 預設情況下,儲存在受控磁碟中的資料會使用伺服器端加密搭配 Microsoft 受管理金鑰進行待用加密。 您可以為 Azure Databricks 工作區設定自己的金鑰,以用於受控磁碟加密。 請參閱 Azure 受控磁碟的客戶自控金鑰。
受控服務的客戶自控密鑰:Azure Databricks 控制平面中的受控服務數據會在待用時加密。 您可以為受控服務新增客戶自控金鑰,以協助保護和控制對下列加密資料的存取:
- 儲存在控制平面中的筆記本原始程序檔。
- 儲存在控制平面的筆記本結果。
- 秘密管理員 API 所儲存的秘密。
- Databricks SQL 查詢和查詢歷史記錄。
- 用於設定 Git 與 Databricks Git 資料夾整合的個人存取令牌或其他認證。
請參閱受管理服務的客戶自控金鑰。
DBFS 根目錄的客戶自控密鑰:根據預設,記憶體帳戶會使用Microsoft管理的密鑰加密。 您可以設定自己的金鑰來加密工作區記憶體帳戶中的所有資料。 如需詳細資訊,請參閱 DBFS 根目錄的客戶自控密鑰。
如需 Azure Databricks 中哪些客戶管理的密鑰功能可保護不同類型的數據的詳細資訊,請參閱 客戶管理的加密密鑰。
啟用 DBFS 的雙重加密
Databricks 文件系統 (DBFS) 是掛接至 Azure Databricks 工作區的分散式文件系統,可在 Azure Databricks 叢集上使用。 DBFS 會實作為 Azure Databricks 工作區受控資源群組中的記憶體帳戶。 DBFS 中的預設位置稱為 DBFS 根目錄。
Azure 儲存體會自動加密儲存體帳戶中的所有資料,包括 DBFS 根儲存體。 您可以選擇在 Azure 儲存體基礎結構層級啟用雙重加密。 啟用基礎結構加密時,會使用兩種不同的加密演算法和兩個不同的金鑰,將儲存體帳戶中的資料加密兩次,一次在服務層級,另一次在基礎結構層級。 若了解有關如何部署具有基礎結構加密的工作區,請參閱設定 DBFS 根目錄的雙重加密。
加密查詢、查詢記錄和查詢結果
您可以從 Azure 金鑰保存庫 使用自己的金鑰來加密儲存在 Azure Databricks 控制平面中的 Databricks SQL 查詢和查詢歷程記錄。 如需詳細資訊,請參閱加密查詢、查詢歷史記錄和查詢結果
加密叢集背景工作節點之間的流量
使用者查詢和轉換通常會透過加密通道傳送至您的叢集。 不過,預設情況下,叢集中背景工作節點之間交換的資料不會加密。 如果您的環境需要隨時加密資料,無論是待用或傳輸中,您都可以建立 init 指令碼,將叢集設定為使用 AES 128 位加密透過 TLS 1.2 連線,來加密背景工作節點之間的流量。 如需詳細資訊,請參閱 加密叢集背景工作節點之間的流量。
管理工作區設定
Azure Databricks 工作區管理員可以管理其工作區的安全性設定,例如能夠下載筆記本並強制執行用戶隔離叢集存取模式。 如需詳細資訊,請參閱 管理工作區。