適用於加密的客戶自控金鑰
本文提供用於加密之客戶自控金鑰的概觀。
注意
此功能需要進階版方案。
適用於加密之客戶自控金鑰概觀
某些服務和資料支援會新增客戶自控金鑰,以協助保護及控制加密資料的存取。 您可以使用雲端中的金鑰管理服務來維護客戶自控的加密金鑰。
Azure Databricks 支援來自 Azure Key Vault 金鑰保存庫和 Azure Key Vault 受控硬體安全模組(HSM )的客戶管理的金鑰。
Azure Databricks 有三個客戶自控金鑰功能,適用於不同類型的資料:
下表列出哪些客戶管理的主要功能會用於哪一種數據類型。
| 資料類型 | 位置 | 客戶自控金鑰功能 |
|---|---|---|
| AI/BI 儀表板 | 控制平面 | 受管理的服務 |
| 筆記本來源和中繼資料 | 控制平面 | 受管理的服務 |
| 個人存取令牌 (PAT) 或其他認證,用於 Git 與 Databricks Git 資料夾整合 | 控制平面 | 受管理的服務 |
| 密碼管理員 API 所儲存的密碼 | 控制平面 | 受管理的服務 |
| Databricks SQL 查詢和查詢歷史記錄 | 控制平面 | 受管理的服務 |
| 向量搜尋索引和中繼資料 | 無伺服器計算平面 | 受管理的服務 |
| 客戶可存取的 DBFS 根目錄資料 | 您工作區的 DBFS 根目錄位於 Azure 訂用帳戶的工作區儲存體帳戶中。 這也包含 FileStore 區域。 | DBFS 根目錄 |
| 工作結果 | 您的 Azure 訂用帳戶中的工作區儲存體帳戶 | DBFS 根目錄 |
| Databricks SQL 結果 | 您的 Azure 訂用帳戶中的工作區儲存體帳戶 | DBFS 根目錄 |
| MLflow 模型 | 您的 Azure 訂用帳戶中的工作區儲存帳戶 | DBFS 根目錄 |
| DLT | 如果您在 DBFS 根目錄中使用 DBFS 路徑,這將儲存在您的 Azure 訂用帳戶工作區的儲存帳號中。 這不會套用至代表對其他資料來源之掛接點的 DBFS 路徑。 | DBFS 根目錄 |
| 互動式筆記本結果 | 根據預設,當您以互動方式執行筆記本時(而非作為工作執行),結果會儲存在控制平面中,以提升效能,而某些大型結果則會儲存在您 Azure 訂用帳戶中的工作區儲存體帳戶中。 您可以選擇將 Azure Databricks 設定為將所有互動式筆記本結果儲存在工作區儲存體帳戶中。 請參閱<設定互動式筆記本結果的儲存位置>。 | 如需控制平面中的部分結果,請使用客戶自控金鑰進行受管理的服務。 如果需在工作區儲存帳戶中儲存結果並針對所有儲存結果進行設定,請對 DBFS 根目錄 使用客戶自控金鑰。 |
| 工作區儲存體帳戶中無法透過 DBFS 存取的其他工作區系統資料,例如筆記本修訂。 | 您的 Azure 訂用帳戶中的工作區儲存帳戶 | DBFS 根目錄 |
| 受控磁碟 | 計算資源(如叢集)中的 VM 暫存磁碟儲存體。 只適用於您 Azure 訂閱中「經典計算平面」的計算資源。 請參閱無伺服器計算和客戶自控金鑰。 | 受控磁碟 |
如需為 Azure 訂用帳戶中的工作區儲存體帳戶實例增加額外的安全性,您可以啟用雙重加密和防火牆支援。 請參閱<為 DBFS 根目錄設定雙重加密>和<為工作區儲存體帳戶啟用防火牆支援>。
重要
只有 2024 年 11 月 1 日之後建立的 AI/BI 儀錶板會加密並與客戶管理的密鑰相容。
無伺服器計算和客戶自控金鑰
適用於 Databricks SQL 查詢和查詢歷史記錄之受管理服務的客戶自控金鑰。
適用於 Databricks SQL 結果之 DBFS 根目錄儲存體的客戶自控金鑰。
受控磁碟儲存體的客戶自控金鑰不會套用至無伺服器計算資源。 無伺服器計算資源的磁碟是短期的,且繫結至無伺服器工作負載的生命週期。 當計算資源停止或縮減時,虛擬機器及其儲存體會被摧毀。
模型服務
模型服務的資源是無伺服器計算功能,通常分為兩個類別:
- 您為模型建立的資源會儲存在 ADLSgen2 之工作區儲存體的工作區 DBFS 根目錄中 (若為較舊的工作區,則是儲存在 Blob 儲存體)。 這包括模型的構件和版本中繼資料。 工作區模型登錄和 MLflow 都會使用此儲存體。 您可以將此儲存體設定為使用客戶自控金鑰。
- Azure Databricks 直接代表您建立的資源包括模型映像和暫時無伺服器計算儲存體。 這些會使用 Databricks 管理的金鑰加密,且不支援客戶自控金鑰。
受控磁碟儲存體的客戶自控金鑰不會套用至無伺服器計算資源。 無伺服器計算資源的磁碟是短期的,且繫結至無伺服器工作負載的生命週期。 當計算資源停止或縮減時,虛擬機器及其儲存體會被銷毀。