用戶管理金鑰適用於管理型服務

注意

此功能需要 Premium 方案。

若要進一步控制您的數據，您可以新增自己的金鑰，以保護和控制對某些數據類型的存取。 Azure Databricks 有三個客戶管理的主要功能，適用於不同類型的數據和位置。 若要比較它們，請參閱 用於加密的客戶管理密鑰。

Azure Databricks 中的託管服務數據 控制平面 在靜止時會被加密。 您可以為受控服務新增客戶管理的金鑰，以協助保護及控制對下列加密資料的存取：

• Azure Databricks 控制平台中的筆記本資源
• 以互動方式（而非以作業形式）執行的筆記本，其結果儲存在控制平台中。 根據預設，較大的結果也會儲存在工作區根目錄的儲存桶中。 您可以將 Azure Databricks 設定為 將所有互動式筆記本結果儲存在雲端帳戶。
• 秘密管理員 API所儲存的秘密。
• Databricks SQL 查詢和查詢歷程記錄。
• 個人存取令牌 （PAT） 或其他認證，用來 設定 Git 與 Databricks Git 資料夾的整合。

在您為工作區的受控服務加密新增客戶管理的密鑰之後，Azure Databricks 會使用您的密鑰來控制對加密未來寫入工作區受控服務資料的密鑰的存取權。 現有的數據不會重新加密。 數據加密金鑰會在記憶體中快取，以進行數個讀取和寫入作業，並定期從記憶體移除。 針對該數據的請求需要再向您的雲端服務密鑰管理系統發出一個請求。 如果您刪除或撤銷金鑰，讀取或寫入受保護的數據會在快取時間間隔結束時失敗。 您可以稍後輪替客戶管理的金鑰（更新）。

重要

如果您輪替金鑰，則必須保留舊密鑰 24 小時。

此功能不會加密儲存在 控制平面外部的數據。 若要加密工作區儲存體帳戶中的數據，請參閱 DBFS 根的客戶自控密鑰 。

您可以使用 Azure Key Vault 保存庫或 Azure Key Vault HSM 來啟用客戶管理的金鑰：

• 為受控服務啟用客戶管理的金鑰
• 為管理服務啟用 HSM 客戶管理金鑰