Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Für dieses Feature ist der Premium-Plan erforderlich.
Diese Seite bietet eine Übersicht über vom Kunden verwaltete Schlüssel für die Verschlüsselung. Einige Dienste und Daten unterstützen das Hinzufügen eines vom Kunden verwalteten Schlüssels, um den Zugriff auf verschlüsselte Daten zu schützen und zu steuern. Sie können den Schlüsselverwaltungsdienst in Ihrer Cloud verwenden, um einen vom Kunden verwalteten Verschlüsselungsschlüssel zu verwalten.
Azure Databricks unterstützt kundenseitig verwaltete Schlüssel aus Azure Key Vault-Tresoren und Azure Key Vault Managed HSM (Hardware Security Modules).
Vom Kunden verwaltete Schlüsselanwendungsfälle
Azure Databricks verfügt über drei kundenseitig verwaltete Schlüsselfeatures für verschiedene Datentypen:
- Kundenseitig verwaltete Schlüssel für verwaltete Azure-Datenträger
- Kundenseitig verwaltete Schlüssel für verwaltete Dienste
- Kundenseitig verwaltete Schlüssel für den DBFS-Stamm
In der folgenden Tabelle werden die vom Kunden verwalteten Schlüsselfeatures für welche Datentypen verwendet.
| Datentyp | Standort | Die Funktion des kundenseitig verwalteten Schlüssels |
|---|---|---|
| KI/BI-Dashboards | Steuerungsebene | Verwaltete Dienste |
| KI/BI Genie | Steuerungsebene | Verwaltete Dienste |
| Notebookquelle und Metadaten | Steuerungsebene | Verwaltete Dienste |
| Persönliche Zugriffstoken (Personal Access Token, PAT) oder andere Anmeldeinformationen werden für die Git-Integration mit Databricks-Git-Ordnern verwendet. | Steuerungsebene | Verwaltete Dienste |
| Von den geheimen Manager-APIs gespeicherte Geheimschlüssel | Steuerungsebene | Verwaltete Dienste |
| Databricks SQL Abfragen und Abfrageverlauf | Steuerungsebene | Verwaltete Dienste |
| Vektorsuchindizes und Metadaten | Serverlose Computeebene | Verwaltete Dienste |
| Kundenzugriff auf DBFS-Stammdaten | Der DBFS-Stamm Ihres Arbeitsbereichs in Ihrem Arbeitsbereichsspeicherkonto in Ihrem Azure-Abonnement. Dies schließt auch den FileStore-Bereich ein. | DBFS-Stamm |
| Auftragsergebnisse | Speicherkonto des Arbeitsbereichs in Ihrem Azure-Abonnement | DBFS-Stamm |
| Datenbricks SQL Ergebnisse | Speicherkonto des Arbeitsbereichs in Ihrem Azure-Abonnement | DBFS-Stamm |
| MLflow-Modelle | Speicherkonto des Arbeitsbereichs in Ihrem Azure-Abonnement | DBFS-Stamm |
| Lakeflow Spark Declarative Pipelines | Wenn Sie einen DBFS-Pfad in Ihrem DBFS-Stamm verwenden, wird dieser im Speicherkonto Ihres Arbeitsbereichs in Ihrem Azure-Abonnement gespeichert. Dies gilt nicht für DBFS-Pfade, die Bereitstellungspunkte für andere Datenquellen darstellen. | DBFS-Stamm |
| Interaktive Notebookergebnisse | Standardmäßig gilt: Wenn Sie ein Notebook nicht als Auftrag, sondern interaktiv ausführen, werden die Ergebnisse auf der Steuerungsebene gespeichert, um die Leistung zu optimieren. Dabei werden einige große Ergebnisse im Speicherkonto Ihres Arbeitsbereichs in Ihrem Azure-Abonnement gespeichert. Sie können Azure Databricks so konfigurieren, dass alle Ergebnisse interaktiver Notebooks im Speicherkonto Ihres Arbeitsbereichs in Ihrem Azure-Abonnement gespeichert werden. Siehe Konfigurieren des Speicherorts für interaktive Notebookergebnisse. | Verwenden Sie für Teilergebnisse in der Kontrollebene einen vom Kunden verwalteten Schlüssel für verwaltete Dienste. Verwenden Sie für Ergebnisse im Speicherkonto Ihres Arbeitsbereichs, das Sie für den gesamten Ergebnisspeicher konfigurieren können, einen kundenseitig verwalteten Schlüssel für den DBFS-Stamm. |
| Andere Arbeitsbereichssystemdaten im Speicherkonto Ihres Arbeitsbereichs, auf die über DBFS nicht zugegriffen werden kann (z. B. Notebookrevisionen) | Speicherkonto des Arbeitsbereichs in Ihrem Azure-Abonnement | DBFS-Stamm |
| Verwaltete Datenträger | Temporärer Datenträgerspeicher von VMs in Computeressourcen wie Clustern. Gilt nur für Computeressourcen in der klassischen Computeebene in Ihrem Azure-Abonnement. Weitere Informationen finden Sie unter Serverloses Computing und kundenseitig verwaltete Schlüssel. | Verwaltete Datenträger |
Für zusätzliche Sicherheit für das Speicherkonto Ihres Arbeitsbereichs in Ihrem Azure-Abonnement können Sie die doppelte Verschlüsselung und Firewallunterstützung aktivieren. Weitere Informationen finden Sie unter Konfigurieren der doppelten Verschlüsselung für den DBFS-Stamm und Aktivieren der Firewallunterstützung für das Speicherkonto Ihres Arbeitsbereichs.
Wichtig
Nur AI/BI-Dashboards, die nach dem 1. November 2024 erstellt wurden, sind verschlüsselt und mit vom Kunden verwalteten Schlüsseln kompatibel.
Nur AI/BI Genie-Räume, die nach dem 10. April 2025 erstellt wurden, werden verschlüsselt und mit vom Kunden verwalteten Schlüsseln kompatibel.
Serverloses Computing und kundenseitig verwaltete Schlüssel
Databricks SQL Serverless unterstützt Folgendes:
Kundenseitig verwaltete Schlüssel für verwaltete Dienste für Databricks SQL-Abfragen und den Abfrageverlauf.
Kundenseitig verwaltete Schlüssel für den DBFS-Stammspeicher für Databricks SQL-Ergebnisse.
Kundenseitig verwaltete Schlüssel für verwalteten Datenträgerspeicher gelten nicht für Ressourcen für serverloses Computing. Datenträger, die für Ressourcen für serverloses Computing verwendet werden, sind kurzlebig und an den Lebenszyklus der serverlosen Workload gebunden. Wenn Computeressourcen beendet oder herunterskaliert werden, werden die VMs und deren Speicher zerstört.
Modellbereitstellung
Ressourcen für die Modellbereitstellung, ein Feature für serverloses Computing, fallen in der Regel in zwei Kategorien:
- Ressourcen, die Sie für das Modell erstellen, werden im Stammspeicher Ihres Arbeitsbereichs gespeichert. Dazu gehören die Artefakte und Versionsmetadaten des Modells. Sowohl die Arbeitsbereichsmodellregistrierung als auch MLflow verwenden diesen Speicher. Sie können diesen Speicher für die Verwendung von kundenseitig verwalteten Schlüsseln konfigurieren.
- Zu den Ressourcen, die Azure Databricks direkt in Ihrem Namen erstellt, gehören das Modellimage und der kurzlebige Speicher für serverloses Computing. Diese werden mit von Databricks verwalteten Schlüsseln verschlüsselt und unterstützen keine kundenseitig verwalteten Schlüssel.