Klucze zarządzane przez klienta dla katalogu głównego DBFS

Uwaga

Ta funkcja jest dostępna tylko w planie Premium.

Aby uzyskać dodatkową kontrolę nad danymi, możesz dodać własny klucz, aby chronić i kontrolować dostęp do niektórych typów danych. Usługa Azure Databricks ma dwie kluczowe funkcje zarządzane przez klienta, które obejmują różne typy danych i lokalizacji. Aby zapoznać się z porównaniem, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania.

Domyślnie konto magazynu jest szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Po dodaniu klucza zarządzanego przez klienta dla katalogu głównego DBFS usługa Azure Databricks używa Twojego klucza do szyfrowania wszystkich danych w głównym magazynie obiektów blob obszaru roboczego.

• Główny magazyn obiektów blob zawiera główny plik DBFS obszaru roboczego, który jest domyślną lokalizacją magazynu w systemie plików DBFS. System plików usługi Databricks (DBFS, Databricks File System) to rozproszony system plików zainstalowany w obszarze roboczym usługi Azure Databricks i dostępny w klastrach usługi Azure Databricks. System dbFS jest implementowany jako wystąpienie usługi Blob Storage w zarządzanej grupie zasobów obszaru roboczego usługi Azure Databricks. Magazyn główny systemu plików DBFS obejmuje modele MLflow i dane delta Live Table w katalogu głównym systemu plików DBFS (ale nie w przypadku instalacji systemu plików DBFS).
• Główny magazyn obiektów blob obejmuje również dane systemowe obszaru roboczego (niedostępne bezpośrednio ze ścieżkami systemu plików DBFS), w tym wyniki zadań, wyniki usługi Databricks SQL, poprawki notesu i inne dane obszaru roboczego.

Ważne

Ta funkcja ma wpływ na główny system plików DBFS, ale nie jest używana do szyfrowania danych na żadnych dodatkowych instalacjach systemu plików DBFS, takich jak instalacja systemu plików DBFS dodatkowych obiektów blob lub magazynu usługi ADLS.

Aby przechowywać klucze zarządzane przez klienta, należy użyć usługi Azure Key Vault. Klucze można przechowywać w magazynach usługi Azure Key Vault lub w zarządzanych modułach zabezpieczeń sprzętowych usługi Azure Key Vault (HSM). Aby dowiedzieć się więcej na temat magazynów i modułów HSM usługi Azure Key Vault, zobacz About Key Vault keys (Informacje o kluczach usługi Key Vault). Istnieją różne instrukcje dotyczące używania magazynów usługi Azure Key Vault i modułów HSM usługi Azure Key Vault.

Usługa Key Vault musi znajdować się w tej samej dzierżawie platformy Azure co obszar roboczy usługi Azure Databricks.

Klucze zarządzane przez klienta można włączyć przy użyciu magazynów usługi Azure Key Vault dla magazynu DBFS na trzy różne sposoby:

• Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą witryny Azure Portal
• Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą interfejsu wiersza polecenia platformy Azure
• Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą programu PowerShell

Klucze zarządzane przez klienta można również włączyć za pomocą modułów HSM usługi Azure Key Vault dla magazynu DBFS na trzy różne sposoby:

• Konfigurowanie kluczy zarządzanych przez klienta przez moduł HSM dla systemu plików DBFS przy użyciu witryny Azure Portal
• Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu interfejsu wiersza polecenia platformy Azure
• Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu programu PowerShell