Chiavi gestite dal cliente per la radice di DBFS

Nota

Questa funzionalità è disponibile solo nel piano Premium.

Per un controllo aggiuntivo dei dati, è possibile aggiungere la propria chiave per proteggere e controllare l'accesso ad alcuni tipi di dati. Azure Databricks include due funzionalità chiave gestite dal cliente che coinvolgono diversi tipi di dati e posizioni. Per un confronto, vedere Chiavi gestite dal cliente per la crittografia.

Per impostazione predefinita, l'account di archiviazione viene crittografato con chiavi gestite da Microsoft. Dopo aver aggiunto una chiave gestita dal cliente per la radice DBFS, Azure Databricks usa la chiave per crittografare tutti i dati nell'archivio BLOB radice dell'area di lavoro.

• L'account di archiviazione dell'area di lavoro contiene la radice DBFS dell'area di lavoro, ovvero il percorso predefinito in DBFS. Il file system di Databricks è un file system distribuito montato in un'area di lavoro di Azure Databricks e disponibile nei cluster Azure Databricks. DBFS viene implementato come istanza di archiviazione BLOB nel gruppo di risorse gestite dell'area di lavoro di Azure Databricks. L'account di archiviazione dell'area di lavoro include modelli MLflow e dati delta live table nella radice DBFS (ma non per i montaggi DBFS).
• L'account di archiviazione dell'area di lavoro include anche i dati di sistema dell'area di lavoro (non direttamente accessibili tramite percorsi DBFS), inclusi i risultati dei processi, i risultati sql di Databricks, le revisioni dei notebook e altri dati dell'area di lavoro.

Importante

Questa funzionalità influisce sulla radice DBFS, ma non viene usata per crittografare i dati in qualsiasi montaggio DBFS aggiuntivo , ad esempio i montaggi DBFS di archiviazione BLOB o ADLS aggiuntivi. I montaggi sono un modello di accesso legacy. Databricks consiglia di usare Unity Catalog per la gestione di tutti gli accessi ai dati. Vedere Connessione all'archiviazione di oggetti cloud usando il catalogo unity.

È necessario usare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile archiviare le chiavi in insiemi di credenziali di Azure Key Vault o moduli di sicurezza hardware gestiti di Azure Key Vault. Per altre informazioni sugli insiemi di credenziali delle chiavi di Azure e sui moduli di protezione hardware, vedere Informazioni sulle chiavi di Key Vault. Sono disponibili istruzioni diverse per l'uso di insiemi di credenziali di Azure Key Vault e moduli di protezione hardware di Azure Key Vault.

L'insieme di credenziali delle chiavi deve trovarsi nello stesso tenant di Azure dell'area di lavoro di Azure Databricks.

È possibile abilitare le chiavi gestite dal cliente usando gli insiemi di credenziali di Azure Key Vault per l'account di archiviazione dell'area di lavoro in tre modi diversi:

• Configurare le chiavi gestite dal cliente per il file system di Databricks con il portale di Azure
• Configurare le chiavi gestite dal cliente per il file system di Databricks con l'interfaccia della riga di comando di Azure
• Configurare le chiavi gestite dal cliente per il file system di Databricks con PowerShell

È anche possibile abilitare le chiavi gestite dal cliente usando moduli di protezione hardware di Azure Key Vault per l'account di archiviazione dell'area di lavoro in tre modi diversi:

• Configurare le chiavi gestite dal cliente del modulo di protezione hardware per DBFS usando il portale di Azure
• Configurare chiavi gestite dal cliente del modulo di protezione hardware per DBFS usando l'interfaccia della riga di comando di Azure
• Configurare chiavi gestite dal cliente del modulo di protezione hardware per DBFS tramite PowerShell