Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Ta funkcja wymaga planu Premium.
Ta strona zawiera omówienie kluczy zarządzanych przez klienta na potrzeby szyfrowania. Niektóre usługi i dane obsługują dodawanie klucza zarządzanego przez klienta, aby chronić i kontrolować dostęp do zaszyfrowanych danych. Usługę zarządzania kluczami w chmurze można użyć do obsługi klucza szyfrowania zarządzanego przez klienta.
Usługa Azure Databricks obsługuje klucze zarządzane przez klienta z magazynów usługi Azure Key Vault i zarządzane moduły HSM usługi Azure Key Vault (sprzętowe moduły zabezpieczeń).
Przypadki użycia klucza zarządzanego przez klienta
Usługa Azure Databricks ma trzy kluczowe funkcje zarządzane przez klienta dla różnych typów danych:
- Klucze zarządzane przez klienta dla dysków zarządzanych platformy Azure
- Zarządzane przez klienta klucze do usług zarządzanych
- Klucze zarządzane przez klienta dla katalogu głównego DBFS
W poniższej tabeli wymieniono funkcje klucza zarządzanego przez klienta, dla których typów danych są używane.
| Typ danych | Lokalizacja | Funkcja klucza zarządzanego przez klienta |
|---|---|---|
| Pulpity sztucznej inteligencji/inteligencji biznesowej | Płaszczyzna sterowania | Usługi zarządzane |
| AI/BI Genie | Płaszczyzna sterowania | Usługi zarządzane |
| Źródło i metadane notatnika | Płaszczyzna sterowania | Usługi zarządzane |
| Osobiste tokeny dostępu (PAT) lub inne poświadczenia używane do integracji Git z folderami Usługi Git usługi Databricks | Płaszczyzna sterowania | Usługi zarządzane |
| Tajemnice przechowywane przez interfejsy API zarządzające tajemnicami | Płaszczyzna sterowania | Usługi zarządzane |
| Zapytania SQL i historia zapytań usługi Databricks | Płaszczyzna sterowania | Usługi zarządzane |
| Indeksy i metadane wyszukiwania wektorowego | Bezserwerowa płaszczyzna obliczeniowa | Usługi zarządzane |
| Dane główne systemu DBFS dostępne dla klienta | Katalog główny DBFS obszaru roboczego na koncie magazynu obszaru roboczego w ramach subskrypcji platformy Azure. Obejmuje to również obszar FileStore. | Root DBFS |
| Wyniki zadania | Konto magazynowe obszaru roboczego w subskrypcji Azure | Root DBFS |
| Wyniki usługi Databricks SQL | Konto magazynowe obszaru roboczego w subskrypcji Azure | Root DBFS |
| Modele MLflow | Konto magazynowe obszaru roboczego w subskrypcji Azure | Root DBFS |
| Potoki deklaratywne platformy Spark w usłudze Lakeflow | Jeśli używasz ścieżki DBFS w katalogu głównym DBFS, jest przechowywana na koncie magazynowym obszaru roboczego w ramach subskrypcji platformy Azure. Nie dotyczy to ścieżek systemu plików DBFS reprezentujących punkty instalacji do innych źródeł danych. | Root DBFS |
| Wyniki zeszytu interaktywnego | Domyślnie, podczas interaktywnego uruchamiania notesu (a nie jako zadania), wyniki są przechowywane na poziomie kontrolnym z myślą o wydajności, a część dużych wyników jest przechowywana na koncie magazynowym obszaru roboczego w subskrypcji Azure. Możesz skonfigurować usługę Azure Databricks tak, aby na koncie magazynu obszaru roboczego przechowywać wszystkie interaktywne wyniki notatnika. Zobacz Konfigurowanie lokalizacji przechowywania plików dla wyników interaktywnego notatnika. | Aby uzyskać częściowe wyniki na płaszczyźnie sterowania, użyj klucza zarządzanego przez klienta dla usług zarządzanych. Aby uzyskać wyniki na koncie magazynu obszaru roboczego, które można skonfigurować dla całego magazynu wyników, użyj klucza zarządzanego przez klienta dla katalogu głównego systemu plików DBFS. |
| Inne dane systemowe obszaru roboczego na koncie przechowywania obszaru roboczego, do których nie ma dostępu przez system plików DBFS, takie jak wersje notesu. | Konto magazynowe obszaru roboczego w subskrypcji Azure | Root DBFS |
| Dyski zarządzane | Tymczasowy magazyn dysków maszyn wirtualnych w zasobach obliczeniowych, takich jak klastry. Dotyczy tylko zasobów obliczeniowych w klasycznej płaszczyźnie obliczeniowej w ramach subskrypcji platformy Azure. Zobacz Obliczenia bezserwerowe i klucze zarządzane przez klienta. | Dyski zarządzane |
Aby uzyskać dodatkowe zabezpieczenia dla instancji konta magazynowego przestrzeni roboczej w ramach subskrypcji platformy Azure, możesz włączyć obsługę podwójnego szyfrowania i zapory sieciowej. Zobacz, jak skonfigurować podwójne szyfrowanie dla katalogu głównego systemu plików DBFS i jak włączyć obsługę zapory dla konta magazynu przestrzeni roboczej.
Ważne
Tylko pulpity nawigacyjne usługi AI/BI utworzone po 1 listopada 2024 r. są szyfrowane i zgodne z kluczami zarządzanymi przez klienta.
Tylko miejsca usługi AI/BI Genie utworzone po 10 kwietnia 2025 r. są szyfrowane i zgodne z kluczami zarządzanymi przez klienta.
Bezserwerowe klucze obliczeniowe i klucze zarządzane przez klienta
Databricks SQL Serverless obsługuje:
Klucze i usługi zarządzane przez klienta dla zapytań i historii zapytań w Databricks SQL.
Klucze zarządzane przez klienta dla przechowywania głównego DBFS w wynikach Databricks SQL.
Klucze zarządzane przez klienta dla magazynu dysków zarządzanych nie mają zastosowania do zasobów obliczeniowych serverless. Dyski dla bezserwerowych zasobów obliczeniowych są krótkotrwałe i powiązane z cyklem życia obciążenia bezserwerowego. Gdy zasoby obliczeniowe są zatrzymywane lub skalowane w dół, maszyny wirtualne i ich magazyn są niszczone.
Modelowa obsługa
Zasoby obsługujące model — funkcja obliczeniowa bezserwerowa — zazwyczaj należą do dwóch kategorii:
- Zasoby tworzone dla modelu są przechowywane w magazynie głównym obszaru roboczego. Obejmuje to artefakty modelu i metadane wersji. Zarówno rejestr modelu obszaru roboczego, jak i MLflow używają tego magazynu. Ten magazyn można skonfigurować tak, aby używał kluczy zarządzanych przez klienta.
- Zasoby tworzone przez usługę Azure Databricks bezpośrednio w Twoim imieniu obejmują obraz modelu i efemeryczny magazyn obliczeniowy bezserwerowy. Są one szyfrowane przy użyciu kluczy zarządzanych przez usługę Databricks i nie obsługują kluczy zarządzanych przez klienta.