Kundhanterade nycklar för DBFS-rot

Kommentar

Den här funktionen är endast tillgänglig i Premium-planen.

Om du vill ha ytterligare kontroll över dina data kan du lägga till din egen nyckel för att skydda och kontrollera åtkomsten till vissa typer av data. Azure Databricks har två kundhanterade nyckelfunktioner som omfattar olika typer av data och platser. En jämförelse finns i Kundhanterade nycklar för kryptering.

Som standard är lagringskontot krypterat med Microsoft-hanterade nycklar. När du har lagt till en kundhanterad nyckel för DBFS-rot använder Azure Databricks din nyckel för att kryptera alla data i arbetsytans rotbloblagring.

• Rotbloblagringen innehåller din arbetsytas DBFS-rot, som är standardlagringsplatsen i DBFS. Databricks File System (DBFS) är ett distribuerat filsystem som monteras på en Azure Databricks-arbetsyta och är tillgängligt på Azure Databricks-kluster. DBFS implementeras som en Blob Storage-instans i azure Databricks-arbetsytans hanterade resursgrupp. DBFS-rotlagringen innehåller MLflow-modeller och Delta Live Table-data i DBFS-roten (men inte för DBFS-monteringar).
• Rotbloblagringen innehåller även arbetsytans systemdata (inte direkt åtkomliga för dig med hjälp av DBFS-sökvägar), som innehåller jobbresultat, Databricks SQL-resultat, notebook-revisioner och andra arbetsytedata.

Viktigt!

Den här funktionen påverkar DBFS-roten men används inte för att kryptera data på ytterligare DBFS-monteringar, till exempel DBFS-monteringar av ytterligare Blob- eller ADLS-lagring.

Du måste använda Azure Key Vault till att lagra dina kundhanterade nycklar. Du kan lagra dina nycklar i Azure Key Vault-valv eller Azure Key Vault Managed Hardware Security Modules (HSM). Mer information om Azure Key Vault-valv och HSM:er finns i Om Key Vault-nycklar. Det finns olika instruktioner för att använda Azure Key Vault-valv och Azure Key Vault HSM:er.

Key Vault måste finnas i samma Azure-klientorganisation som din Azure Databricks-arbetsyta.

Du kan aktivera kundhanterade nycklar med hjälp av Azure Key Vault-valv för din DBFS-lagring på tre olika sätt:

• Konfigurera kundhanterade nycklar för DBFS med Azure-portalen
• Konfigurera kundhanterade nycklar för DBFS med Azure CLI
• Konfigurera kundhanterade nycklar för DBFS med PowerShell

Du kan också aktivera kundhanterade nycklar med hjälp av Azure Key Vault HSM:er för din DBFS-lagring på tre olika sätt:

• Konfigurera kundhanterade HSM-nycklar för DBFS med hjälp av Azure-portalen
• Konfigurera kundhanterade HSM-nycklar för DBFS med hjälp av Azure CLI
• Konfigurera kundhanterade HSM-nycklar för DBFS med hjälp av PowerShell