Felhasználó által kezelt kulcsok titkosításhoz
Ez a cikk áttekintést nyújt az ügyfél által felügyelt titkosítási kulcsokról.
Feljegyzés
Ehhez a funkcióhoz prémium csomag szükséges.
Ügyfél által felügyelt kulcsok a titkosítás áttekintéséhez
Egyes szolgáltatások és adatok támogatják az ügyfél által felügyelt kulcs hozzáadását a titkosított adatokhoz való hozzáférés védelme és szabályozása érdekében. A felhő kulcskezelési szolgáltatásával ügyfél által felügyelt titkosítási kulcsot tarthat fenn.
Az Azure Databricks támogatja az Azure Key Vault-tárolókból és az Azure Key Vault felügyelt HSM-ből (hardveres biztonsági modulok) származó ügyfél által felügyelt kulcsokat.
Az Azure Databricks három ügyfél által kezelt kulcsfontosságú funkcióval rendelkezik a különböző adattípusokhoz:
- Ügyfél által kezelt kulcsok Azure kezelt lemezekhez
- Ügyfél által kezelt kulcsok a menedzselt szolgáltatásokhoz
- Ügyfél által kezelt kulcsok a DBFS root számára
Az alábbi táblázat felsorolja, hogy mely ügyfél által felügyelt kulcsfunkciókat használja a rendszer az adattípusokhoz.
| Adatok típusa | Hely | Ügyfél által felügyelt kulcs funkció |
|---|---|---|
| Jegyzetfüzet forrása és metaadatai | Vezérlősík | Felügyelt szolgáltatások |
| Személyes hozzáférési jogkivonatok (PAT) vagy a Databricks Git-mappákkal való Git-integrációhoz használt egyéb hitelesítő adatok | Vezérlősík | Felügyelt szolgáltatások |
| A titkos kulcskezelő API-k által tárolt titkos kódok | Vezérlősík | Felügyelt szolgáltatások |
| Databricks SQL-lekérdezések és lekérdezési előzmények | Vezérlősík | Felügyelt szolgáltatások |
| Ügyfél által elérhető DBFS-gyökéradatok | A munkaterület DBFS-gyökere a munkaterület DBFS-gyökértárolójában található az Azure-előfizetésben. Ide tartozik a FileStore terület is. | a DBFS gyökere |
| Feladat eredményei | Workspace DBFS root storage-példány az Azure-előfizetésben | a DBFS gyökere |
| Databricks SQL-eredmények | Workspace DBFS root storage-példány az Azure-előfizetésben | a DBFS gyökere |
| MLflow-modellek | Workspace DBFS root storage-példány az Azure-előfizetésben | a DBFS gyökere |
| Delta Live Table | Ha DBFS-elérési utat használ a DBFS-gyökérben, a rendszer ezt a munkaterület DBFS-gyökértároló-példányában tárolja az Azure-előfizetésében. Ez nem vonatkozik azokra a DBFS-útvonalakra, amelyek más adatforrásokhoz tartozó csatlakoztatási pontokat jelölnek. | a DBFS gyökere |
| Interaktív jegyzetfüzet eredményei | Alapértelmezés szerint, ha interaktívan futtat egy jegyzetfüzetet (nem feladatként), a rendszer a vezérlősíkon tárolja az eredményeket a teljesítmény érdekében, és a munkaterület DBFS gyökértárolójában tárol néhány nagy eredményt az Azure-előfizetésében. Beállíthatja, hogy az Azure Databricks az összes interaktív jegyzetfüzet-találatot az Azure-előfizetésében tárolja. | A vezérlősík részleges eredményeihez használjon ügyfél által felügyelt kulcsot a felügyelt szolgáltatásokhoz. Az összes eredménytárolóhoz konfigurálható DBFS-gyökértároló eredményeihez használjon ügyfél által felügyelt kulcsot a DBFS-gyökérhez. |
| A DBFS gyökértárolójában található egyéb munkaterületi rendszeradatok, amelyek a DBFS-n keresztül elérhetetlenek, például jegyzetfüzet-változatok. | Munkaterületi DBFS-gyökértároló az Azure-előfizetésben | a DBFS gyökere |
| Felügyelt lemezek | Virtuális gépek ideiglenes lemeztárolása számítási erőforrásokban, például fürtökben. Csak az Azure-előfizetés klasszikus számítási síkjának számítási erőforrásaira vonatkozik. Lásd: Kiszolgáló nélküli számítási és ügyfél által felügyelt kulcsok. | Felügyelt lemezek |
A munkaterület DBFS-gyökértároló-példányának további biztonsága érdekében az Azure-előfizetésben engedélyezheti a dupla titkosítást a DBFS-gyökér számára.
Kiszolgáló nélküli számítási és ügyfél által felügyelt kulcsok
A Databricks SQL Serverless a következőket támogatja:
Ügyfél által felügyelt kulcsok felügyelt szolgáltatásokhoz a Databricks SQL-lekérdezésekhez és a lekérdezési előzményekhez.
A Databricks SQL-eredmények dbFS-gyökértárolójának ügyfél által felügyelt kulcsai.
A felügyelt lemeztároló ügyfél által felügyelt kulcsai nem vonatkoznak a kiszolgáló nélküli számítási erőforrásokra. A kiszolgáló nélküli számítási erőforrások lemezei rövid élettartamúak, és a kiszolgáló nélküli számítási feladatok életciklusához vannak kötve. A számítási erőforrások leállítása vagy leskálázása esetén a virtuális gépek és tárolóik megsemmisülnek.
Modellkiszolgáló
A kiszolgáló nélküli számítási funkció, a Model Service erőforrásai általában két kategóriába sorolhatók:
- A modellhez létrehozott erőforrások a munkaterület DBFS-gyökerében vannak tárolva az ADLSgen2 munkaterület-tárolójában (régebbi munkaterületek esetén Blob Storage). Ez magában foglalja a modell összetevőit és a verzió metaadatait. Ezt a tárolót a munkaterületi modell beállításjegyzéke és az MLflow is használja. Ezt a tárolót konfigurálhatja úgy, hogy ügyfél által felügyelt kulcsokat használjon.
- Az Azure Databricks által közvetlenül az Ön nevében létrehozott erőforrások közé tartozik a modell képe és a rövid élettartamú kiszolgáló nélküli számítási tár. Ezek a Databricks által felügyelt kulcsokkal vannak titkosítva, és nem támogatják az ügyfél által felügyelt kulcsokat.
A felügyelt lemeztároló ügyfél által felügyelt kulcsai nemvonatkoznak a kiszolgáló nélküli számítási erőforrásokra. A kiszolgáló nélküli számítási erőforrások lemezei rövid élettartamúak, és a kiszolgáló nélküli számítási feladatok életciklusához vannak kötve. A számítási erőforrások leállítása vagy leskálázása esetén a virtuális gépek és tárolóik megsemmisülnek.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: