Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Ta funkcja jest dostępna tylko w planie Premium.
Aby uzyskać dodatkową kontrolę nad danymi, możesz dodać własny klucz, aby chronić i kontrolować dostęp do niektórych typów danych. Usługa Azure Databricks ma dwie kluczowe funkcje zarządzane przez klienta, które obejmują różne typy danych i lokalizacji. Aby zapoznać się z porównaniem, zobacz Klucze zarządzane przez klienta na potrzeby szyfrowania.
Domyślnie konto magazynowe jest szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Po dodaniu klucza zarządzanego przez klienta dla katalogu głównego systemu plików DBFS, Azure Databricks używa tego klucza do szyfrowania wszystkich danych w bazowym magazynie obiektów BLOB obszaru roboczego.
- Konto magazynu obszaru roboczego zawiera katalog główny DBFS obszaru roboczego, który jest domyślną lokalizacją w DBFS. System plików usługi Databricks (DBFS, Databricks File System) to rozproszony system plików zainstalowany w obszarze roboczym usługi Azure Databricks i dostępny w klastrach usługi Azure Databricks. System dbFS jest implementowany jako wystąpienie usługi Blob Storage w zarządzanej grupie zasobów obszaru roboczego usługi Azure Databricks. Konto magazynu obszaru roboczego zawiera dane Modele MLflow oraz Deklaratywne potoki Lakeflow Spark w katalogu głównym systemu plików DBFS (ale nie dotyczy to montowań DBFS).
- Konto magazynu obszaru roboczego obejmuje również dane systemowe obszaru roboczego, które nie są bezpośrednio dostępne dla Ciebie za pomocą ścieżek DBFS, a które obejmują wyniki zadań, wyniki SQL Databricks, wersje robocze notatnika oraz inne dane obszaru roboczego.
Ważne
Ta funkcja ma wpływ na główny system plików DBFS, ale nie jest używana do szyfrowania danych na żadnych dodatkowych punktach montowania systemu plików DBFS, takich jak dodatkowe obiekty blob lub magazyny ADLS. Punkty montowania są starszym wzorcem dostępu. Databricks zaleca używanie Unity Catalog do zarządzania wszystkimi dostępami do danych. Zobacz Połączenie z magazynem obiektów w chmurze przy użyciu Unity Catalog.
Aby przechowywać klucze zarządzane przez klienta, należy użyć usługi Azure Key Vault. Klucze można przechowywać w magazynach usługi Azure Key Vault lub zarządzanych modułach zabezpieczeń sprzętowych (HSM) usługi Azure Key Vault. Aby dowiedzieć się więcej na temat magazynów i modułów HSM w usłudze Azure Key Vault, zobacz Informacje o kluczach usługi Key Vault. Istnieją różne instrukcje dotyczące używania magazynów usługi Azure Key Vault i modułów HSM usługi Azure Key Vault.
Usługa Key Vault musi znajdować się w tej samej dzierżawie Azure co obszar roboczy Azure Databricks.
Klucze zarządzane przez klienta można włączyć przy użyciu sejfów (repozytoriów) Azure Key Vault dla konta magazynowego w obszarze roboczym na trzy sposoby:
- Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą witryny Azure Portal
- Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą interfejsu wiersza polecenia platformy Azure
- Konfigurowanie kluczy zarządzanych przez klienta na potrzeby systemu plików DBFS za pomocą programu PowerShell
Klucze zarządzane przez klienta można również włączyć za pomocą modułów HSM usługi Azure Key Vault dla konta magazynu obszaru roboczego na trzy różne sposoby:
- Konfigurowanie kluczy zarządzanych przez klienta przez moduł HSM dla systemu plików DBFS przy użyciu witryny Azure Portal
- Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu interfejsu wiersza polecenia platformy Azure
- Konfigurowanie kluczy zarządzanych przez klienta modułu HSM dla systemu plików DBFS przy użyciu programu PowerShell