DBFS 根目錄的客戶自控金鑰
注意
此功能僅適用於 進階方案。
若要進一步控制您的資料,您可以新增自己的金鑰,以保護並控制對某些資料類型的存取。 Azure Databricks 有兩個客戶管理的密鑰功能,涉及不同類型的數據和位置。 如需比較,請參閱 客戶管理的加密金鑰。
預設情況下,儲存體帳戶會使用 Microsoft 管理的金鑰進行加密。 為 DBFS 根目錄新增客戶自控金鑰之後,Azure Databricks 會使用金鑰來加密工作區根 Blob 儲存體中的所有資料。
- 工作區記憶體帳戶包含工作區的 DBFS 根目錄,這是 DBFS 中的預設位置。 Databricks 文件系統 (DBFS) 是掛接至 Azure Databricks 工作區的分散式文件系統,可在 Azure Databricks 叢集上使用。 DBFS 會實作為 Azure Databricks 工作區受控資源群組中的 Blob 記憶體實例。 工作區記憶體帳戶包含 DBFS 根目錄中的 MLflow 模型和差異實時數據表數據(但不適用於 DBFS 掛接)。
- 工作區記憶體帳戶也包含工作區的系統數據(無法使用 DBFS 路徑直接存取),其中包括作業結果、Databricks SQL 結果、筆記本修訂,以及其他一些工作區數據。
重要
這項功能會影響您的 DBFS 根目錄 ,但不會用於加密任何其他 DBFS 掛接 上的數據,例如其他 Blob 或 ADLS 記憶體的 DBFS 掛接。 掛接是舊版存取模式。 Databricks 建議使用 Unity 目錄來管理所有數據存取。 請參閱 使用 Unity 目錄連線到雲端物件記憶體和服務。
您必須使用 Azure Key Vault 來儲存客戶自控金鑰。 您可以將金鑰儲存在 Azure 金鑰保存庫 儲存庫或 Azure 金鑰保存庫 受控硬體安全性模組 (HSM) 中。 若要深入瞭解 Azure 金鑰保存庫 保存庫和 HSM,請參閱關於 金鑰保存庫 金鑰。 使用 Azure 金鑰保存庫 保存庫和 Azure 金鑰保存庫 HSM 有不同的指示。
Key Vault 與 Azure Databricks 工作區必須位於相同的 Azure 租用戶中。
您可以使用適用於工作區記憶體帳戶的 Azure 金鑰保存庫 儲存庫,以三種不同的方式啟用客戶管理的金鑰:
您也可以使用 Azure 金鑰保存庫 HSM 為工作區記憶體帳戶啟用客戶管理的金鑰,方式有三種不同的方式: