Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Für dieses Feature ist der Premium-Plan erforderlich.
Um zusätzliche Kontrolle über Ihre Daten zu erhalten, können Sie Ihren eigenen Schlüssel hinzufügen, um den Zugriff auf einige Arten von Daten zu schützen und zu steuern. Azure Databricks verfügt über drei vom Kunden verwaltete Schlüsselfeatures für verschiedene Datentypen und Speicherorte. Informationen zum Vergleichen finden Sie unter " Vom Kunden verwaltete Schlüssel" für die Verschlüsselung.
Verwaltete Dienstdaten in der Azure Databricks-Kontrollebene werden im Ruhezustand verschlüsselt. Sie können einen vom Kunden verwalteten Schlüssel für verwaltete Dienste hinzufügen, um den Zugriff auf die folgenden Typen verschlüsselter Daten zu schützen und zu steuern:
- Notizbuchquelle in der Azure Databricks-Steuerelementebene
- Notebook-Ergebnisse für Notebooks werden interaktiv (nicht als Aufträge) ausgeführt, die in der Steuerungsebene gespeichert sind. Standardmäßig werden größere Ergebnisse auch im Stamm-Bucket des Arbeitsbereichs gespeichert. Sie können Azure Databricks so konfigurieren, dass alle interaktiven Notebook-Ergebnisse in Ihrem Cloud-Abonnement gespeichert werden.
- Von den geheimen Manager-APIs gespeicherte Geheimschlüssel.
- AI/BI-Dashboards.
- AI/BI Genie Spaces.
- Databricks SQL Abfragen und Abfrageverlauf.
- Persönliche Zugriffstoken (Personal Access Token, PAT) oder andere Anmeldeinformationen werden zum Einrichten der Git-Integration mit Databricks-Git-Ordnern verwendet.
Nachdem Sie einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwalteter Dienste für einen Arbeitsbereich hinzugefügt haben, verwendet Azure Databricks Ihren Schlüssel, um den Zugriff auf den Schlüssel zu steuern, der zukünftige Schreibvorgänge in die verwalteten Dienstdaten Ihres Arbeitsbereichs verschlüsselt. Vorhandene Daten werden nicht erneut verschlüsselt. Der Datenverschlüsselungsschlüssel wird im Arbeitsspeicher für mehrere Lese- und Schreibvorgänge zwischengespeichert und in regelmäßigen Abständen aus dem Arbeitsspeicher entfernt. Neue Anforderungen für diese Daten erfordern eine weitere Anforderung an das Schlüsselverwaltungssystem Ihres Clouddiensts. Wenn Sie Ihren Schlüssel löschen oder widerrufen, schlägt das Lesen oder Schreiben in die geschützten Daten am Ende des Cache-Zeitintervalls fehl. Sie können den vom Kunden verwalteten Schlüssel zu einem späteren Zeitpunkt drehen (aktualisieren).
Von Bedeutung
Wenn Sie den Schlüssel rotieren, müssen Sie den alten Schlüssel noch 24 Stunden lang verfügbar halten.
Dieses Feature verschlüsselt keine Daten, die außerhalb der Steuerebene gespeichert sind. Informationen zum Verschlüsseln von Daten in Ihrem Arbeitsbereichsspeicherkonto finden Sie unter "Vom Kunden verwaltete Schlüssel" für den DBFS-Stamm.
Sie können vom Kunden verwaltete Schlüssel mithilfe von Azure Key Vault oder Azure Key Vault HSMs aktivieren.