Claves administradas por el cliente para servicios administrados

Nota:

Esta característica requiere el plan Premium.

Para disponer de un mayor control sobre los datos, puede agregar su propia clave para proteger y controlar el acceso a ciertos tipos de datos. Azure Databricks tiene tres características clave administradas por el cliente para diferentes tipos de datos y ubicaciones. Para compararlas, consulte Claves administradas por el cliente para el cifrado.

Los datos de servicios administrados en el plano de control de Azure Databricks se cifran en reposo. Puede agregar una clave administrada por el cliente para los servicios administrados para ayudar a proteger y controlar el acceso a los siguientes tipos de datos cifrados:

• Origen del cuaderno en el plano de control de Azure Databricks
• Los resultados del cuaderno para los cuadernos se ejecutan de forma interactiva (no como trabajos) que se almacenan en el plano de control. De manera predeterminada, los resultados más grandes también se almacenan en el cubo raíz del área de trabajo. Puede configurar Azure Databricks para almacenar todos los resultados de cuadernos interactivos en su cuenta en la nube.
• Secretos almacenados por las API del administrador de secretos.
• Consultas e historial de consultas de Databricks SQL.
• Tokens de acceso personal (PAT) u otras credenciales que se usan para configurar la integración de Git con carpetas de Git de Databricks.

Después de agregar una clave administrada por el cliente para el cifrado de servicios administrados para un área de trabajo, Azure Databricks usa la clave para controlar el acceso a la clave que cifra las operaciones de escritura futuras en los datos de servicios administrados del área de trabajo. Los datos ya existentes no se volverán a cifrar. La clave de cifrado de datos se almacena en caché en memoria para varias operaciones de lectura y escritura y se expulsa de la memoria a intervalos regulares. Las nuevas solicitudes de esos datos requieren otra solicitud al sistema de administración de claves del servicio en la nube. Si elimina o revoca la clave, se produce un error al leer o escribir en los datos protegidos al final del intervalo de tiempo de caché. Puede rotar (actualizar) la clave administrada por el cliente más adelante.

Importante

Si rota la clave, debe mantener la clave antigua disponible durante 24 horas.

Esta característica no cifra los datos almacenados fuera del plano de control. Para cifrar datos en el almacenamiento raíz DBFS del área de trabajo, consulte Claves administradas por el cliente para la raíz DBFS.

Puede habilitar claves administradas por el cliente mediante almacenes de Azure Key Vault o HSM de Azure Key Vault:

• Habilitación de claves administradas por el cliente para servicios administrados
• Habilitación de claves administradas por el cliente HSM para servicios administrados