Vom Kunden verwaltete Schlüssel für die Verschlüsselung
Dieser Artikel enthält eine Übersicht über vom Kunden verwaltete Schlüssel für die Verschlüsselung.
Hinweis
Für dieses Feature ist der Premium-Plan erforderlich.
Übersicht der vom Kunden verwalteten Schlüssel für die Verschlüsselung
Einige Dienste und Daten unterstützen das Hinzufügen eines vom Kunden verwalteten Schlüssels, um den Zugriff auf verschlüsselte Daten zu schützen und zu steuern. Sie können den Schlüsselverwaltungsdienst in Ihrer Cloud verwenden, um einen vom Kunden verwalteten Verschlüsselungsschlüssel zu verwalten.
Azure Databricks unterstützt kundenseitig verwaltete Schlüssel aus Azure Key Vault-Tresoren und Azure Key Vault Managed HSM (Hardware Security Modules).
Azure Databricks verfügt über drei kundenseitig verwaltete Schlüsselfeatures für verschiedene Datentypen:
- Kundenseitig verwaltete Schlüssel für verwaltete Azure-Datenträger
- Kundenseitig verwaltete Schlüssel für verwaltete Dienste
- Kundenseitig verwaltete Schlüssel für den DBFS-Stamm
In der folgenden Tabelle werden die vom Kunden verwalteten Schlüsselfeatures für welche Datentypen verwendet.
| Datentyp | Standort | Die Funktion des kundenseitig verwalteten Schlüssels |
|---|---|---|
| Notebookquelle und Metadaten | Steuerungsebene | Verwaltete Dienste |
| Persönliche Zugriffstoken (Personal Access Token, PAT) oder andere Anmeldeinformationen werden für die Git-Integration mit Databricks-Git-Ordnern verwendet. | Steuerungsebene | Verwaltete Dienste |
| Von den geheimen Manager-APIs gespeicherte Geheimschlüssel | Steuerungsebene | Verwaltete Dienste |
| Databricks SQL Abfragen und Abfrageverlauf | Steuerungsebene | Verwaltete Dienste |
| Kundenzugriff auf DBFS-Stammdaten | Der DBFS-Stamm Ihres Arbeitsbereichs im DBFS-Stammspeicher Ihres Arbeitsbereichs in Ihrem Azure-Abonnement. Dies schließt auch den FileStore-Bereich ein. | DBFS-Stamm |
| Auftragsergebnisse | DBFS-Stammspeicherinstanz Ihres Arbeitsbereichs in Ihrem Azure-Abonnement | DBFS-Stamm |
| Datenbricks SQL Ergebnisse | DBFS-Stammspeicherinstanz Ihres Arbeitsbereichs in Ihrem Azure-Abonnement | DBFS-Stamm |
| MLflow-Modelle | DBFS-Stammspeicherinstanz Ihres Arbeitsbereichs in Ihrem Azure-Abonnement | DBFS-Stamm |
| Delta Live Table | Wenn Sie einen DBFS-Pfad in Ihrem DBFS-Stamm verwenden, wird dieser in der DBFS-Stammspeicherinstanz Ihres Arbeitsbereichs in Ihrem Azure-Abonnement gespeichert. Dies gilt nicht für DBFS-Pfade, die Bereitstellungspunkte für andere Datenquellen darstellen. | DBFS-Stamm |
| Interaktive Notebookergebnisse | Wenn Sie ein Notebook standardmäßig interaktiv (statt als Auftrag) ausführen, werden die Ergebnisse in der Steuerungsebene für Leistung gespeichert, wobei einige große Ergebnisse im DBFS-Stammspeicher Ihres Arbeitsbereichs in Ihrem Azure-Abonnement gespeichert werden. Sie können Azure Databricks so konfigurieren, dass alle interaktiven Notebookergebnisse in Ihrem Azure-Abonnement gespeichert werden. | Verwenden Sie für Teilergebnisse in der Kontrollebene einen vom Kunden verwalteten Schlüssel für verwaltete Dienste. Für Ergebnisse im DBFS-Stammspeicher, den Sie für alle Ergebnisspeicher konfigurieren können, verwenden Sie einen kundenseitig verwalteten Schlüssel für den DBFS-Stamm. |
| Andere Arbeitsbereichssystemdaten im DBFS-Stammspeicher, auf die über DBFS nicht zugegriffen werden kann, z. B. Notebookrevisionen. | DBFS-Stammspeicher des Arbeitsbereichs in Ihrem Azure-Abonnement | DBFS-Stamm |
| Verwaltete Datenträger | Temporärer Datenträgerspeicher von VMs in Computeressourcen wie Clustern. Gilt nur für Computeressourcen in der klassischen Computeebene in Ihrem Azure-Abonnement. Weitere Informationen finden Sie unter Serverloses Computing und kundenseitig verwaltete Schlüssel. | Verwaltete Datenträger |
Für zusätzliche Sicherheit für die DBFS-Stammspeicherinstanz Ihres Arbeitsbereichs in Ihrem Azure-Abonnement können Sie die doppelte Verschlüsselung für den DBFS-Stamm aktivieren.
Serverloses Computing und kundenseitig verwaltete Schlüssel
Databricks SQL Serverless unterstützt Folgendes:
Kundenseitig verwaltete Schlüssel für verwaltete Dienste für Databricks SQL-Abfragen und den Abfrageverlauf.
Kundenseitig verwaltete Schlüssel für den DBFS-Stammspeicher für Databricks SQL-Ergebnisse.
Kundenseitig verwaltete Schlüssel für verwalteten Datenträgerspeicher gelten nicht für Ressourcen für serverloses Computing. Datenträger, die für Ressourcen für serverloses Computing verwendet werden, sind kurzlebig und an den Lebenszyklus der serverlosen Workload gebunden. Wenn Computeressourcen beendet oder herunterskaliert werden, werden die VMs und deren Speicher zerstört.
Modellbereitstellung
Ressourcen für die Modellbereitstellung, ein Feature für serverloses Computing, fallen in der Regel in zwei Kategorien:
- Ressourcen, die Sie für das Modell erstellen, werden im DBFS-Stamm Ihres Arbeitsbereichs in Ihrem Arbeitsbereichsspeicher in ADLSgen2 (Blog Storage bei älteren Arbeitsbereichen) gespeichert. Dies schließt die Artefakte und Versionsmetadaten des Modells ein. Sowohl die Arbeitsbereichsmodellregistrierung als auch MLflow verwenden diesen Speicher. Sie können diesen Speicher für die Verwendung von kundenseitig verwalteten Schlüsseln konfigurieren.
- Zu den Ressourcen, die Azure Databricks direkt in Ihrem Namen erstellt, gehören das Modellimage und der kurzlebige Speicher für serverloses Computing. Diese werden mit von Databricks verwalteten Schlüsseln verschlüsselt und unterstützen keine kundenseitig verwalteten Schlüssel.
Kundenseitig verwaltete Schlüssel für verwalteten Datenträgerspeicher gelten nicht für Ressourcen für serverloses Computing. Datenträger, die für Ressourcen für serverloses Computing verwendet werden, sind kurzlebig und an den Lebenszyklus der serverlosen Workload gebunden. Wenn Computeressourcen beendet oder herunterskaliert werden, werden die VMs und deren Speicher zerstört.