使用客户管理的密钥进行加密
重要
此功能目前以公共预览版提供。
注意
此功能需要高级计划。
对于某些类型的数据,Azure Databricks 支持添加客户管理的密钥来帮助保护和控制对已加密数据的访问。 Azure Databricks 为不同类型的数据提供两项客户管理的密钥功能:
下表列出了每项客户管理的密钥功能可用于哪些类型的数据。
| 数据类型 | 位置 | 客户管理的密钥功能 |
|---|---|---|
| 笔记本源和元数据 | 控制面板 | 托管服务 |
| 机密管理器 API 存储的机密 | 控制面板 | 托管服务 |
| Databricks SQL 查询和查询历史记录 | 控制面板 | 托管服务 |
| 客户可访问的 DBFS 根数据 | Azure 订阅的工作区根 Blob 存储中的工作区 DBFS 根。 这也包括工作区库和 FileStore 区域。 | DBFS 根 |
| 作业结果 | Azure 订阅中的工作区根 Blob 存储实例 | DBFS 根 |
| Databricks SQL 结果 | Azure 订阅中的工作区根 Blob 存储实例 | DBFS 根 |
| 交互式笔记本结果 | 默认情况下,在以交互方式(而不是以作业形式)运行笔记本时,结果将存储在控制平面中,以便在 Azure 订阅的工作区根 Blob 存储中存储某些大型结果时能够保持良好的性能。 可以选择将 Azure Databricks 配置为在你的 Azure 订阅中存储所有交互式笔记本结果。 | 对于控制平面中的部分结果,请为托管服务使用客户管理的密钥。 对于可为所有结果存储配置的根 Blob 存储中的结果,请为 DBFS 根使用客户管理的密钥。 |
| 无法通过 DBFS 访问的根 Blob 存储中的其他工作区系统数据,例如笔记本修订。 | Azure 订阅中的工作区根 Blob 存储 | DBFS 根 |
为了提高 Azure 订阅中工作区根 Blob 存储实例的安全性,可为 DBFS 根启用双重加密。