Ключи, управляемые клиентом, для управляемых служб:
Примечание.
Для этой функции требуется план "Премиум".
Чтобы расширить возможности управления данными, можно добавить собственный ключ для защиты доступа к определенным типам данных и управления им. Azure Databricks имеет три основные функции, управляемые клиентом, для различных типов данных и расположений. Их сравнение можно найти в статье Ключи для шифрования, управляемые клиентом.
Данные управляемых служб на уровне управления Azure Databricks шифруются в неактивном состоянии. Можно добавить ключ, управляемый клиентом, для управляемых служб, чтобы защитить и отслеживать доступ к следующим типам зашифрованных данных:
- Источник записной книжки в плоскости управления Azure Databricks
- Результаты интерактивного выполнения записных книжек (выполненных не как задания), которые хранятся на уровне управления. По умолчанию объемные результаты также хранятся в корневом контейнере рабочей области. Можно настроить Azure Databricks на хранение всех результатов интерактивного выполнения записных книжек в облачной учетной записи.
- Секреты, хранимые API диспетчера секретов.
- Журнал запросов и запросы Databricks SQL.
- Личные маркеры доступа (PAT) или другие учетные данные, используемые для настройки интеграции Git с папками Databricks Git.
После добавления ключа, управляемого клиентом, для шифрования управляемых служб для рабочей области Azure Databricks используется ключ для управления доступом к ключу, который шифрует будущие операции записи в управляемые службы рабочей области. Существующие данные повторно не шифруются. Ключ шифрования данных кэшируется в памяти для нескольких операций чтения и записи, а затем удаляется из памяти с регулярной частотой. Для новых запросов к этим данным потребуется отдельный запрос к системе управления ключами вашей облачной службы. При удалении или отзыве ключа чтение и запись защищенных данных завершается сбоем после окончания интервала времени кэширования. Затем можно сменить (обновить) ключ, управляемый клиентом.
Внимание
При смене ключа необходимо сохранить старый ключ доступным в течение 24 часов.
Эта функция не шифрует данные, хранящиеся за пределами плоскости управления. Чтобы зашифровать данные в учетной записи хранения рабочей области, обратитесь к ключам, управляемым клиентом, для корневого каталога DBFS.
Ключи, управляемые клиентом, можно включить с помощью хранилищ Azure Key Vault или HSM Azure Key Vault: