使用客户管理的密钥进行加密
本文概述了用于加密的客户管理的密钥。
注意
此功能需要高级计划。
用于加密的客户管理的密钥概述
某些服务和数据支持添加客户管理的密钥来帮助保护和控制对已加密数据的访问。 可以使用云中的密钥管理服务来维护客户管理的加密密钥。
Azure Databricks 支持 Azure 密钥保管库保管库中客户管理的密钥。
Azure Databricks 为不同类型的数据提供三项客户管理的密钥功能:
下表列出了每项客户管理的密钥功能可用于哪些类型的数据。
| 数据类型 | 位置 | 客户管理的密钥功能 |
|---|---|---|
| 笔记本源和元数据 | 控制面板 | 托管服务 |
| 用于 Git 与 Databricks Repos 集成的个人访问令牌 (PAT) 或其他凭据 | 控制面板 | 托管服务 |
| 机密管理器 API 存储的机密 | 控制面板 | 托管服务 |
| Databricks SQL 查询和查询历史记录 | 控制面板 | 托管服务 |
| 客户可访问的 DBFS 根数据 | 你的 Azure 订阅中你的工作区 DBFS 根存储中的工作区 DBFS 根。 这还包括 FileStore 区域。 | DBFS 根 |
| 作业结果 | 你的 Azure 订阅中的工作区根 DBFS 存储实例 | DBFS 根 |
| Databricks SQL 结果 | 你的 Azure 订阅中的工作区根 DBFS 存储实例 | DBFS 根 |
| MLflow 模型 | 你的 Azure 订阅中的工作区根 DBFS 存储实例 | DBFS 根 |
| 增量实时表 | 如果在 DBFS 根目录中使用 DBFS 路径,则此路径将存储在 Azure 订阅的工作区根 DBFS 存储实例中。 这不适用于表示指向其他数据源的装入点的 DBFS 路径。 | DBFS 根 |
| 交互式笔记本结果 | 默认情况下,在以交互方式(而不是以作业形式)运行笔记本时,结果将存储在控制平面中,以便在 Azure 订阅的工作区根 DBFS 存储中存储某些大型结果时能够保持良好的性能。 可以选择将 Azure Databricks 配置为在你的 Azure 订阅中存储所有交互式笔记本结果。 | 对于控制平面中的部分结果,请为托管服务使用客户管理的密钥。 对于可为所有结果存储配置的根 DBFS 存储中的结果,请为 DBFS 根使用客户管理的密钥。 |
| 无法通过 DBFS 访问的根 DBFS 存储中的其他工作区系统数据,例如笔记本修订。 | 你的 Azure 订阅中的工作区根 DBFS 存储 | DBFS 根 |
| 托管磁盘 | 计算资源(如群集)中的 VM 的临时磁盘存储。 仅适用于 Azure 订阅的经典计算平面中的计算资源。 请参阅无服务器计算和客户管理的密钥。 | 托管磁盘 |
为了提高 Azure 订阅中工作区根 DBFS 存储实例的安全性,可为 DBFS 根启用双重加密。