Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Esse recurso está disponível somente com o plano Premium.
Para ter controle adicional de seus dados, adicione sua própria chave para proteger e controlar o acesso a alguns tipos de dados. O Azure Databricks tem dois recursos de chave gerenciada pelo cliente que envolvem diferentes tipos de dados e locais. Para fazer uma comparação, confira Chaves gerenciadas pelo cliente para criptografia.
Por padrão, a conta de armazenamento é criptografada com chaves gerenciadas pela Microsoft. Depois de adicionar uma chave gerenciada pelo cliente para a raiz do DBFS, o Azure Databricks usará sua chave para encriptar todos os dados no armazenamento raiz de Blobs do workspace.
- A conta de armazenamento do workspace contém a raiz DBFS do workspace, que é o local padrão no DBFS. O DBFS (Databricks File System) é um sistema de arquivos distribuído montado em um workspace do Azure Databricks e disponível em clusters do Azure Databricks. O DBFS é implementado como uma instância de Armazenamento de Blobs no grupo de recursos gerenciados do workspace do Azure Databricks. A conta de armazenamento do workspace inclui os modelos MLflow e dados de Lakeflow Spark Declarative Pipelines na raiz do DBFS (mas não para as montagens do DBFS).
- A conta de armazenamento do workspace também inclui os dados do sistema do workspace (não diretamente acessíveis a você usando caminhos DBFS), como resultados dos jobs, resultados do Databricks SQL, revisões de notebook e alguns outros dados do workspace.
Importante
Esse recurso afeta sua raiz DBFS, mas não é usado para criptografar dados em nenhuma montagem do DBFS adicional, como montagens do DBFS da armazenamento de Blobs ou ADLS adicionais. As montagens são um padrão de acesso herdado. O Databricks recomenda usar o Catálogo do Unity para gerenciar todo acesso de dados. Consulte Conectar-se ao armazenamento de objetos de nuvem usando o Catálogo do Unity.
Você precisa usar o Azure Key Vault para armazenar as chaves gerenciadas pelo cliente. Você pode armazenar suas chaves em cofres do Azure Key Vault ou HSMs (Módulos de Segurança de Hardware Gerenciados) do Azure Key Vault. Para saber mais sobre os cofres do Azure Key Vault e os HSMs, confira Sobre as chaves do Key Vault. Existem diferentes instruções para utilizar os cofres do Azure Key Vault e os HSMs do Azure Key Vault.
O Key Vault precisa estar no mesmo locatário do Azure que o workspace do Azure Databricks.
Você pode habilitar chaves gerenciadas pelo cliente utilizando cofres do Azure Key Vault para sua conta de armazenamento do workspace de três formas diferentes:
- Configurar chaves gerenciadas pelo cliente para o DBFS usando o portal do Azure
- Configurar chaves gerenciadas pelo cliente para o DBFS usando a CLI do Azure
- Configurar chaves gerenciadas pelo cliente para o DBFS usando o PowerShell
Você também pode habilitar as chaves gerenciadas pelo cliente utilizando HSMs do Microsoft Azure Key Vault para sua conta de armazenamento do workspace de três maneiras diferentes: