使用客户管理的密钥进行加密
本文概述了用于加密的客户管理的密钥。
注意
此功能需要高级计划。
用于加密的客户管理的密钥概述
某些服务和数据支持添加客户管理的密钥来帮助保护和控制对已加密数据的访问。 可以使用云中的密钥管理服务来维护客户管理的加密密钥。
Azure Databricks 支持 Azure 密钥保管库和 Azure 密钥保管库所托管 HSM(硬件安全模块)中客户管理的密钥。
Azure Databricks 为不同类型的数据提供三项客户管理的密钥功能:
下表列出了每项客户管理的密钥功能可用于哪些类型的数据。
| 数据类型 | 位置 | 客户管理的密钥功能 |
|---|---|---|
| 笔记本源和元数据 | 控制面板 | 托管服务 |
| 用于 Git 与 Databricks Git 文件夹集成的个人访问令牌 (PAT) 或其他凭据 | 控制面板 | 托管服务 |
| 机密管理器 API 存储的机密 | 控制面板 | 托管服务 |
| Databricks SQL 查询和查询历史记录 | 控制面板 | 托管服务 |
| 客户可访问的 DBFS 根数据 | 你的 Azure 订阅中工作区存储帐户中工作区的 DBFS 根。 这还包括 FileStore 区域。 | DBFS 根 |
| 作业结果 | 你的 Azure 订阅中的工作区存储帐户 | DBFS 根 |
| Databricks SQL 结果 | 你的 Azure 订阅中的工作区存储帐户 | DBFS 根 |
| MLflow 模型 | 你的 Azure 订阅中的工作区存储帐户 | DBFS 根 |
| 增量实时表 | 如果你使用 DBFS 根目录中的 DBFS 路径,则此数据将存储在 Azure 订阅的工作区存储帐户中。 这不适用于表示指向其他数据源的装入点的 DBFS 路径。 | DBFS 根 |
| 交互式笔记本结果 | 默认情况下,在以交互方式(而不是以作业形式)运行笔记本时,结果将存储在控制平面中,以便在 Azure 订阅的工作区存储帐户中存储某些大型结果时能够保持良好的性能。 你可以选择将 Azure Databricks 配置为在你的工作区存储帐户中存储所有交互式笔记本结果。 请参阅配置交互式笔记本结果的存储位置。 | 对于控制平面中的部分结果,请为托管服务使用客户管理的密钥。 对于工作区存储帐户(你可以为所有结果存储配置)中的结果,请为 DBFS 根目录使用客户管理的密钥。 |
| 工作区存储帐户中无法通过 DBFS 访问的其他工作区系统数据,例如笔记本修订。 | 你的 Azure 订阅中的工作区存储帐户 | DBFS 根 |
| 托管磁盘 | 计算资源(如群集)中的 VM 的临时磁盘存储。 仅适用于 Azure 订阅的经典计算平面中的计算资源。 | 托管磁盘 |
为了提高 Azure 订阅中工作区存储帐户实例的安全性,可以启用双重加密和防火墙支持。 请参阅为 DBFS 根配置双重加密。