Kundhanterade nycklar för kryptering
Den här artikeln innehåller en översikt över kundhanterade nycklar för kryptering.
Översikt över kundhanterade nycklar för kryptering
Vissa tjänster och data stöder tillägg av en kundhanterad nyckel för att skydda och kontrollera åtkomsten till krypterade data. Du kan använda nyckelhanteringstjänsten i molnet för att underhålla en kundhanterad krypteringsnyckel.
Azure Databricks stöder kundhanterade nycklar från Azure Key Vault-valv och Azure Key Vault Managed HSM (maskinvarusäkerhetsmoduler).
Azure Databricks har tre kundhanterade nyckelfunktioner för olika typer av data:
- Kundhanterade nycklar för Azure Managed Disks:
- Kundhanterade nycklar för hanterade tjänster
- Kundhanterade nycklar för DBFS-rot
I följande tabell visas vilka kundhanterade nyckelfunktioner som används för vilka typer av data.
| Typ av data | Plats | Funktion för kundhanterad nyckel |
|---|---|---|
| Notebook-källa och metadata | Kontrollplan | Hanterade tjänster |
| Personliga åtkomsttoken (PAT) eller andra autentiseringsuppgifter som används för Git-integrering med Databricks Git-mappar | Kontrollplan | Hanterade tjänster |
| Hemligheter som lagras av API:erna för secret manager | Kontrollplan | Hanterade tjänster |
| Databricks SQL-frågor och frågehistorik | Kontrollplan | Hanterade tjänster |
| Kundtillgängliga DBFS-rotdata | Din arbetsytas DBFS-rot i din arbetsytas DBFS-rotlagring i din Azure-prenumeration. Detta inkluderar även området FileStore. | DBFS-rot |
| Jobbresultat | Dbfs-lagringsinstansen för arbetsytans rot i din Azure-prenumeration | DBFS-rot |
| Databricks SQL-resultat | Dbfs-lagringsinstansen för arbetsytans rot i din Azure-prenumeration | DBFS-rot |
| MLflow-modeller | Dbfs-lagringsinstansen för arbetsytans rot i din Azure-prenumeration | DBFS-rot |
| Delta Live Table | Om du använder en DBFS-sökväg i DBFS-roten lagras den i din dbfs-lagringsinstans för arbetsytan i din Azure-prenumeration. Detta gäller inte för DBFS-sökvägar som representerar monteringspunkter till andra datakällor. | DBFS-rot |
| Interaktiva notebook-resultat | När du kör en notebook-fil interaktivt (i stället för som ett jobb) lagras som standard resultatet i kontrollplanet för prestanda med några stora resultat lagrade i din arbetsytas rot-DBFS-lagring i din Azure-prenumeration. Du kan välja att konfigurera Azure Databricks för att lagra alla interaktiva notebook-resultat i din Azure-prenumeration. | För partiella resultat i kontrollplanet använder du en kundhanterad nyckel för hanterade tjänster. För resultat i dbfs-rotlagringen, som du kan konfigurera för all resultatlagring, använder du en kundhanterad nyckel för DBFS-roten. |
| Andra systemdata för arbetsytor i dbfs-rotlagringen som inte är tillgängliga via DBFS, till exempel notebook-revisioner. | DbFS-lagring för arbetsytans rot i din Azure-prenumeration | DBFS-rot |
| Hanterade diskar | Tillfällig disklagring av virtuella datorer i beräkningsresurser, till exempel kluster. Gäller endast för beräkningsresurser i det klassiska beräkningsplanet i din Azure-prenumeration. Läs mer i Serverlösa beräkningar och kundhanterade nycklar. | Hanterade diskar |
För ytterligare säkerhet för din arbetsytas rot-DBFS-lagringsinstans i din Azure-prenumeration kan du aktivera dubbel kryptering för DBFS-roten.
Serverlös beräkning och kundhanterade nycklar
Databricks SQL Serverless stöder:
Kundhanterade nycklar för hanterade tjänster för Databricks SQL-frågor och frågehistorik.
Kundhanterade nycklar för rot-DBFS-lagring för Databricks SQL-resultat.
Kundhanterade nycklar för hanterad disklagring gäller inte för serverlösa beräkningsresurser. Diskar för serverlösa beräkningsresurser är kortvariga och knutna till livscykeln för den serverlösa arbetsbelastningen. När beräkningsresurser stoppas eller skalas ned förstörs de virtuella datorerna och deras lagring.
Modellservering
Resurser för modellservering, en serverlös beräkningsfunktion, finns vanligtvis i två kategorier:
- Resurser som du skapar för modellen lagras i din arbetsytas DBFS-rot i din arbetsytelagring i ADLSgen2 (för äldre arbetsytor, Blob Storage). Detta inkluderar modellens artefakter och versionsmetadata. Både arbetsytans modellregister och MLflow använder den här lagringen. Du kan konfigurera lagringen så att den använder kundhanterade nycklar.
- Resurser som Azure Databricks skapar direkt åt dig inkluderar modellbilden och den tillfälliga serverlösa beräkningslagringen. Dessa krypteras med Databricks-hanterade nycklar och stöder inte kundhanterade nycklar.
Kundhanterade nycklar för hanterad disklagringgäller inte för serverlösa beräkningsresurser. Diskar för serverlösa beräkningsresurser är kortvariga och knutna till livscykeln för den serverlösa arbetsbelastningen. När beräkningsresurser stoppas eller skalas ned förstörs de virtuella datorerna och deras lagring.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för