Kundenseitig verwaltete Schlüssel für den DBFS-Stamm

Hinweis

Dieses Feature ist nur im Premium-Plan verfügbar.

Um zusätzliche Kontrolle über Ihre Daten zu erhalten, können Sie Ihren eigenen Schlüssel hinzufügen, um den Zugriff auf einige Arten von Daten zu schützen und zu steuern. Azure Databricks verfügt über zwei vom Kunden verwaltete wichtige Features, die unterschiedliche Datentypen und Speicherorte umfassen. Einen Vergleich finden Sie unter Vom Kunden verwaltete Schlüssel für die Verschlüsselung.

Das Speicherkonto wird standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Nachdem Sie einen kundenseitig verwalteten Schlüssel für den DBFS-Stamm hinzugefügt haben, verwendet Azure Databricks diesen Schlüssel, um alle Daten im Stammblobspeicher des Arbeitsbereichs zu verschlüsseln.

• Der Stammblobspeicher enthält den DBFS-Stamm Ihres Arbeitsbereichs, bei dem es sich um den Standardspeicherort in DBFS handelt. Das Databricks-Dateisystem (Databricks File System, DBFS) ist ein verteiltes Dateisystem, das in einen Azure Databricks-Arbeitsbereich eingebunden und in Azure Databricks-Clustern verfügbar ist. DBFS wird als Blob Storage-Instanz in der verwalteten Ressourcengruppe Ihres Azure Databricks-Arbeitsbereichs implementiert. Der DBFS-Stammspeicher enthält MLflow-Modelle und Delta Live Table-Daten in Ihrem DBFS-Stamm (jedoch nicht für DBFS-Bereitstellungen).
• Der Stammblobspeicher enthält auch die Systemdaten Ihres Arbeitsbereichs (auf die Sie nicht direkt über DBFS-Pfade zugreifen können): Auftragsergebnisse, Databricks SQL-Ergebnisse, Notebookrevisionen und einige weitere Arbeitsbereichsdaten.

Wichtig

Dieses Feature wirkt sich auf Ihren DBFS-Stamm aus, wird jedoch nicht zum Verschlüsseln von Daten auf zusätzlichen DBFS-Mounts wie etwa DBFS-Mounts eines zusätzlichen Blob Storage oder ADLS-Speichers verwendet.

Sie müssen Azure Key Vault zum Speichern Ihrer kundenseitig verwalteten Schlüssel verwenden. Sie können Ihre Schlüssel in Azure Key Vault-Tresoren oder in verwalteten Azure Key Vault-HSMs (Hardware Security Modules) speichern. Weitere Informationen zu Azure Key Vault-Tresoren und HSMs finden Sie unter Informationen zu Key Vault-Schlüsseln. Es gibt verschiedene Anweisungen für die Verwendung von Azure Key Vault-Tresoren und Azure Key Vault-HSMs.

Key Vault muss sich im selben Azure-Mandanten wie Ihr Azure Databricks-Arbeitsbereich befinden.

Sie können kundenseitig verwaltete Schlüssel mithilfe von Azure Key Vault-Tresoren für Ihren DBFS-Speicher auf drei verschiedene Arten aktivieren:

• Konfigurieren von kundenseitig verwalteten Schlüsseln für DBFS über das Azure-Portal
• Konfigurieren von kundenseitig verwalteten Schlüsseln für DBFS mithilfe der Azure CLI
• Konfigurieren von kundenseitig verwalteten Schlüsseln für DBFS mithilfe von PowerShell

Sie können kundenseitig verwaltete Schlüssel auch mithilfe von Azure Key Vault-HSMs für Ihren DBFS-Speicher auf drei verschiedene Arten aktivieren:

• Konfigurieren von kundenseitig verwalteten HSM-Schlüsseln für DBFS über das Azure-Portal
• Konfigurieren von kundenseitig verwalteten HSM-Schlüsseln für DBFS mithilfe der Azure CLI
• Konfigurieren von kundenseitig verwalteten HSM-Schlüsseln für DBFS mithilfe von PowerShell