DBFS 루트에 대한 고객 관리형 키

참고 항목

이 기능은 프리미엄 플랜에서만 사용할 수 있습니다.

데이터에 대한 추가 제어를 위해 사용자 고유의 키를 추가하여 일부 유형의 데이터에 대한 액세스를 보호하고 제어할 수 있습니다. Azure Databricks에는 서로 다른 유형의 데이터 및 위치를 포함하는 두 가지 고객 관리형 주요 기능이 있습니다. 비교는 암호화를 위한 고객 관리형 키를 참조하세요.

기본적으로 스토리지 계정은 Microsoft 관리형 키로 암호화됩니다. DBFS 루트의 고객 관리형 키를 추가하면 Azure Databricks가 이 키를 사용하여 작업 영역의 루트 Blob 스토리지에 있는 모든 데이터를 암호화합니다.

• 루트 Blob 스토리지에는 DBFS의 기본 스토리지 위치인 작업 영역의 DBFS 루트가 포함됩니다. DBFS(Databricks 파일 시스템 )는 Azure Databricks 작업 영역에 탑재된 분산 파일 시스템이며 Azure Databricks 클러스터에서 사용할 수 있습니다. DBFS는 Azure Databricks 작업 영역의 관리형 리소스 그룹에서 Blob 스토리지 인스턴스로 구현됩니다. DBFS 루트 스토리지에는 MLflow 모델과 DBFS 루트의 Delta Live Table 데이터가 포함됩니다(DBFS 탑재의 경우에는 포함되지 않음).
• 루트 Blob 스토리지에는 작업 결과, Databricks SQL 결과, Notebook 수정 버전 및 기타 작업 영역 데이터를 포함하는 작업 영역의 시스템 데이터(DBFS 경로를 사용하여 직접 액세스할 수 없음)도 포함됩니다.

Important

이 기능은 DBFS 루트에 영향을 주지만 추가 Blob 또는 ADLS 스토리지의 DBFS 탑재와 같은 추가 DBFS 탑재의 데이터를 암호화하는 데는 사용되지 않습니다.

Azure Key Vault를 사용하여 고객 관리형 키를 저장해야 합니다. Azure Key Vault 자격 증명 모음 또는 Azure Key Vault 관리형 HSM(하드웨어 보안 모듈)에 키를 저장할 수 있습니다. Azure Key Vault 자격 증명 모음 및 HSM에 대한 자세한 내용은 Key Vault 키에 대해 참조 하세요. Azure Key Vault 자격 증명 모음 및 Azure Key Vault HSM을 사용하기 위한 다양한 지침이 있습니다.

Key Vault는 Azure Databricks 작업 영역과 동일한 Azure 테넌트에 있어야 합니다.

다음 세 가지 방법으로 DBFS 스토리지에 Azure Key Vault 자격 증명 모음을 사용하여 고객 관리형 키를 사용하도록 설정할 수 있습니다.

• Azure Portal을 사용하여 DBFS에 대한 고객 관리형 키 구성
• Azure CLI를 사용하여 DBFS에 대한 고객 관리형 키 구성
• PowerShell을 사용하여 DBFS에 대한 고객 관리형 키 구성

다음 세 가지 방법으로 DBFS 스토리지에 Azure Key Vault HSM을 사용하여 고객 관리형 키를 사용하도록 설정할 수도 있습니다.

• Azure Portal을 사용하여 DBFS에 대한 HSM 고객 관리형 키 구성
• Azure CLI를 사용하여 DBFS에 대한 HSM 고객 관리형 키 구성
• PowerShell을 사용하여 DBFS에 대한 HSM 고객 관리형 키 구성