Chaves geridas pelo cliente para encriptação
Este artigo fornece uma visão geral das chaves gerenciadas pelo cliente para criptografia.
Nota
Este recurso requer o plano Premium.
Visão geral das chaves gerenciadas pelo cliente para criptografia
Alguns serviços e dados suportam a adição de uma chave gerenciada pelo cliente para ajudar a proteger e controlar o acesso a dados criptografados. Você pode usar o serviço de gerenciamento de chaves em sua nuvem para manter uma chave de criptografia gerenciada pelo cliente.
O Azure Databricks dá suporte a chaves gerenciadas pelo cliente dos cofres do Azure Key Vault e do Azure Key Vault Managed HSM (Módulos de Segurança de Hardware).
O Azure Databricks tem três funcionalidades de chave gerida pelo cliente para diferentes tipos de dados:
- Chaves geridas pelo cliente para discos geridos do Azure
- Chaves geridas pelo cliente para serviços geridos
- Chaves geridas pelo cliente para a raiz do DBFS
A tabela a seguir lista quais recursos-chave gerenciados pelo cliente são usados para quais tipos de dados.
| Tipo de dados | Location | Recurso chave gerenciado pelo cliente |
|---|---|---|
| Origem e metadados do bloco de notas | Plano de controlo | Serviços geridos |
| Tokens de acesso pessoal (PAT) ou outras credenciais usadas para integração do Git com pastas Databricks Git | Plano de controlo | Serviços geridos |
| Segredos armazenados pelas APIs do gerenciador de segredos | Plano de controlo | Serviços geridos |
| Consultas SQL Databricks e histórico de consultas | Plano de controlo | Serviços geridos |
| Dados raiz DBFS acessíveis pelo cliente | Raiz DBFS do seu espaço de trabalho no armazenamento raiz DBFS do seu espaço de trabalho na sua subscrição do Azure. Isso também inclui a área FileStore. | Raiz do DBFS |
| Resultados do trabalho | Instância de armazenamento DBFS raiz do espaço de trabalho em sua assinatura do Azure | Raiz do DBFS |
| Resultados do Databricks SQL | Instância de armazenamento DBFS raiz do espaço de trabalho em sua assinatura do Azure | Raiz do DBFS |
| Modelos MLflow | Instância de armazenamento DBFS raiz do espaço de trabalho em sua assinatura do Azure | Raiz do DBFS |
| Mesa Delta Live | Se você usar um caminho DBFS em sua raiz DBFS, ele será armazenado em sua instância de armazenamento DBFS raiz do espaço de trabalho em sua assinatura do Azure. Isso não se aplica a caminhos DBFS que representam pontos de montagem para outras fontes de dados. | Raiz do DBFS |
| Resultados do bloco de notas interativo | Por padrão, quando você executa um bloco de anotações interativamente (em vez de como um trabalho), os resultados são armazenados no plano de controle para desempenho com alguns resultados grandes armazenados no armazenamento DBFS raiz do espaço de trabalho em sua assinatura do Azure. Você pode optar por configurar o Azure Databricks para armazenar todos os resultados do bloco de anotações interativo em sua assinatura do Azure. | Para obter resultados parciais no plano de controle, use uma chave gerenciada pelo cliente para serviços gerenciados. Para obter resultados no armazenamento DBFS raiz, que você pode configurar para todo o armazenamento de resultados, use uma chave gerenciada pelo cliente para a raiz DBFS. |
| Outros dados do sistema de espaço de trabalho no armazenamento DBFS raiz que estão inacessíveis por meio do DBFS, como revisões de notebook. | Armazenamento DBFS raiz do espaço de trabalho em sua assinatura do Azure | Raiz do DBFS |
| Discos geridos | Armazenamento temporário em disco de VMs em recursos de computação, como clusters. Aplica-se apenas a recursos de computação no plano de computação clássico na sua subscrição do Azure. Veja Computação sem servidor e chaves geridas pelo cliente. | Discos geridos |
Para obter segurança adicional para a instância de armazenamento DBFS raiz do seu espaço de trabalho em sua assinatura do Azure, você pode habilitar a criptografia dupla para a raiz DBFS.
Computação sem servidor e chaves gerenciadas pelo cliente
Databricks SQL Serverless suporta:
Chaves gerenciadas pelo cliente para serviços gerenciados para consultas SQL, Databricks, e histórico de consultas.
Chaves gerenciadas pelo cliente para armazenamento DBFS raiz para resultados SQL do Databricks.
As chaves gerenciadas pelo cliente para armazenamento em disco gerenciado não se aplicam a recursos de computação sem servidor. Os discos para recursos de computação sem servidor são de curta duração e vinculados ao ciclo de vida da carga de trabalho sem servidor. Quando os recursos de computação são interrompidos ou reduzidos, as VMs e seu armazenamento são destruídos.
Modelo de Servir
Os recursos para o Model Serving, um recurso de computação sem servidor, geralmente estão em duas categorias:
- Os recursos criados para o modelo são armazenados na raiz DBFS do espaço de trabalho no armazenamento do espaço de trabalho no ADLSgen2 (para espaços de trabalho mais antigos, armazenamento de Blob). Isso inclui os artefatos do modelo e os metadados da versão. Tanto o registro do modelo de espaço de trabalho quanto o MLflow usam esse armazenamento. Você pode configurar esse armazenamento para usar chaves gerenciadas pelo cliente.
- Os recursos que o Azure Databricks cria diretamente em seu nome incluem a imagem do modelo e o armazenamento de computação efêmero sem servidor. Eles são criptografados com chaves gerenciadas pelo Databricks e não suportam chaves gerenciadas pelo cliente.
As chaves gerenciadas pelo cliente para armazenamentoem disco gerenciado não se aplicam a recursos de computação sem servidor. Os discos para recursos de computação sem servidor são de curta duração e vinculados ao ciclo de vida da carga de trabalho sem servidor. Quando os recursos de computação são interrompidos ou reduzidos, as VMs e seu armazenamento são destruídos.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários