Chiavi gestite dal cliente per la crittografia
Questo articolo offre una panoramica delle chiavi gestite dal cliente per la crittografia.
Nota
Questa funzionalità richiede il piano Premium.
Panoramica delle chiavi gestite dal cliente per la crittografia
Alcuni servizi e dati supportano l'aggiunta di una chiave gestita dal cliente per proteggere e controllare l'accesso ai dati crittografati. È possibile usare il servizio di gestione delle chiavi nel cloud per gestire una chiave di crittografia gestita dal cliente.
Azure Databricks supporta le chiavi gestite dal cliente da insiemi di credenziali di Azure Key Vault e dal modulo di protezione hardware gestito di Azure Key Vault.
Azure Databricks offre tre funzionalità chiave gestite dal cliente per diversi tipi di dati:
- Chiavi gestite dal cliente per dischi gestiti di Azure
- Chiavi gestite dal cliente per i servizi gestiti
- Chiavi gestite dal cliente per la radice di DBFS
Nella tabella seguente sono elencate le funzionalità chiave gestite dal cliente usate per i tipi di dati.
| Tipo di dati | Ufficio | Funzionalità chiave gestita dal cliente |
|---|---|---|
| Origine e metadati del notebook | Piano di controllo | Servizi gestiti |
| Token di accesso personali (PAT) o altre credenziali usate per l'integrazione di Git con le cartelle Git di Databricks | Piano di controllo | Servizi gestiti |
| Segreti archiviati dalle API secret manager | Piano di controllo | Servizi gestiti |
| Query e cronologia query SQL di Databricks | Piano di controllo | Servizi gestiti |
| Indici e metadati di Ricerca vettoriale | Piano di calcolo serverless | Servizi gestiti |
| Dati radice DBFS accessibili dal cliente | Radice DBFS dell'area di lavoro nell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure. Questo include anche l'area Archivio file. | Radice DBFS |
| Risultati del processo | Account di archiviazione dell'area di lavoro nella sottoscrizione di Azure | Radice DBFS |
| Risultati di Databricks SQL | Account di archiviazione dell'area di lavoro nella sottoscrizione di Azure | Radice DBFS |
| Modelli MLflow | Account di archiviazione dell'area di lavoro nella sottoscrizione di Azure | Radice DBFS |
| Tabella dinamica Delta | Se si usa un percorso DBFS nella radice DBFS, questo viene archiviato nell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure. Ciò non si applica ai percorsi DBFS che rappresentano punti di montaggio ad altre origini dati. | Radice DBFS |
| Risultati del notebook interattivo | Per impostazione predefinita, quando si esegue un notebook in modo interattivo (anziché come processo) i risultati vengono archiviati nel piano di controllo per ottenere prestazioni con alcuni risultati di grandi dimensioni archiviati nell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure. È possibile scegliere di configurare Azure Databricks per archiviare tutti i risultati interattivi dei notebook nell'account di archiviazione dell'area di lavoro. Vedere Configurare il percorso di archiviazione per i risultati interattivi dei notebook. | Per ottenere risultati parziali nel piano di controllo, usare una chiave gestita dal cliente per i servizi gestiti. Per ottenere i risultati nell'account di archiviazione dell'area di lavoro, che è possibile configurare per tutte le risorse di archiviazione dei risultati, usare una chiave gestita dal cliente per la radice DBFS. |
| Altri dati di sistema dell'area di lavoro nell'account di archiviazione dell'area di lavoro non accessibili tramite DBFS, ad esempio le revisioni dei notebook. | Account di archiviazione dell'area di lavoro nella sottoscrizione di Azure | Radice DBFS |
| Dischi gestiti | Archiviazione su disco temporanea delle macchine virtuali nelle risorse di calcolo, ad esempio i cluster. Si applica solo alle risorse di calcolo nel piano di calcolo classico nella sottoscrizione di Azure. Vedere Elaborazione serverless e chiavi gestite dal cliente. | Dischi gestiti |
Per una maggiore sicurezza per l'istanza dell'account di archiviazione dell'area di lavoro nella sottoscrizione di Azure, è possibile abilitare la doppia crittografia e il supporto del firewall. Vedere Configurare la doppia crittografia per la radice DBFS e Abilitare il supporto del firewall per l'account di archiviazione dell'area di lavoro.
Calcolo serverless e chiavi gestite dal cliente
Databricks SQL Serverless supporta:
Chiavi gestite dal cliente per i servizi gestiti per query SQL di Databricks e cronologia delle query.
Chiavi gestite dal cliente per l'archiviazione radice DBFS per i risultati di Databricks SQL.
Le chiavi gestite dal cliente per l'archiviazione su disco gestito non si applicano alle risorse di calcolo serverless. I dischi per le risorse di calcolo serverless sono di breve durata e associati al ciclo di vita del carico di lavoro serverless. Quando le risorse di calcolo vengono arrestate o ridimensionate, le macchine virtuali e le relative risorse di archiviazione vengono eliminate definitivamente.
Gestione dei modelli
Le risorse per la gestione dei modelli, una funzionalità di calcolo serverless, sono in genere in due categorie:
- Le risorse create per il modello vengono archiviate nella radice DBFS dell'area di lavoro nell'archiviazione dell'area di lavoro in ADLSgen2 (per le aree di lavoro precedenti, archiviazione BLOB). Sono inclusi gli artefatti e i metadati della versione del modello. Sia il registro dei modelli dell'area di lavoro che MLflow usano questa risorsa di archiviazione. È possibile configurare questa risorsa di archiviazione per l'uso delle chiavi gestite dal cliente.
- Le risorse create da Azure Databricks direttamente per conto dell'utente includono l'immagine del modello e l'archiviazione temporanea di calcolo serverless. Queste chiavi vengono crittografate con chiavi gestite da Databricks e non supportano le chiavi gestite dal cliente.
Le chiavi gestite dal cliente per l'archiviazionesu disco gestito non si applicano alle risorse di calcolo serverless. I dischi per le risorse di calcolo serverless sono di breve durata e associati al ciclo di vita del carico di lavoro serverless. Quando le risorse di calcolo vengono arrestate o ridimensionate, le macchine virtuali e le relative risorse di archiviazione vengono eliminate definitivamente.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per