Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Esse recurso requer o plano Premium.
Esta página fornece uma visão geral das chaves gerenciadas pelo cliente para criptografia. Alguns serviços e dados têm suporte para adicionar uma chave gerenciada pelo cliente para ajudar a proteger e controlar o acesso a dados criptografados. Você pode usar o serviço de gerenciamento de chaves na sua nuvem para manter uma chave de criptografia gerenciada pelo cliente.
O Azure Databricks dá suporte a chaves gerenciadas pelo cliente de cofres do Azure Key Vault e HSM (Módulos de Segurança de Hardware) Gerenciado do Azure Key Vault.
Casos de uso de chave gerenciada pelo cliente
O Azure Databricks tem três recursos de chave gerenciada pelo cliente para diferentes tipos de dados:
- Chaves gerenciadas pelo cliente para discos gerenciados do Azure
- Chaves gerenciadas pelo cliente para serviços gerenciados
- Chaves gerenciadas pelo cliente para a raiz do DBFS
A tabela a seguir lista quais recursos de chave gerenciada pelo cliente são usados para quais tipos de dados.
| Tipo de dados | Localização | Recurso de chave gerenciada pelo cliente |
|---|---|---|
| Painéis de IA/BI | Painel de controle | Serviços gerenciados |
| AI/BI Gênio | Painel de controle | Serviços gerenciados |
| Origem e metadados do notebook | Painel de controle | Serviços gerenciados |
| Tokens de acesso pessoal (PAT) ou outras credenciais usadas para integração do Git com pastas Git do Databricks | Painel de controle | Serviços gerenciados |
| Segredos armazenados pelas APIs do gerenciador de segredos | Painel de controle | Serviços gerenciados |
| Consultas e histórico de consultas do SQL do Databricks | Painel de controle | Serviços gerenciados |
| Índices e metadados da Busca em Vetores | Plano de computação sem servidor | Serviços gerenciados |
| Dados da raiz do DBFS acessíveis ao cliente | A raiz DBFS do seu espaço de trabalho na sua conta de armazenamento dentro da sua assinatura do Azure. Isso também inclui a área do FileStore. | Raiz do DBFS |
| Resultados de trabalho | Conta de armazenamento do workspace na assinatura do Azure | Raiz do DBFS |
| Resultados do SQL do Databricks | Conta de armazenamento do workspace na assinatura do Azure | Raiz do DBFS |
| Modelos do MLflow | Conta de armazenamento do workspace na assinatura do Azure | Raiz do DBFS |
| Pipelines Declarativos Lakeflow Spark | Se você usar um caminho DBFS na raiz do DBFS, isso será armazenado em sua conta de armazenamento do workspace em sua assinatura do Azure. Isso não se aplica a caminhos DBFS que representam pontos de montagem para outras fontes de dados. | Raiz do DBFS |
| Resultados interativos do notebook | Por padrão, ao executar um notebook interativamente (em vez de como um trabalho) os resultados são armazenados no painel de controle para desempenho com alguns resultados grandes armazenados na sua conta de armazenamento do workspace na sua assinatura do Azure. Você pode optar por configurar o Azure Databricks para armazenar todos os resultados interativos do notebook na sua conta de armazenamento do workspace. Confira Configurar o local de armazenamento para resultados interativos do notebook. | Para obter resultados parciais no painel de controle, use uma chave gerenciada pelo cliente para serviços gerenciados. Para obter resultados na conta de armazenamento do workspace, que você pode configurar para todo o armazenamento de resultados, use uma chave gerenciada pelo cliente para a raiz do DBFS. |
| Outros dados do sistema da conta de armazenamento do workspace que estão inacessíveis por meio do DBFS, como revisões de notebook. | Conta de armazenamento do workspace na assinatura do Azure | Raiz do DBFS |
| Discos gerenciados | Armazenamento temporário em disco de VMs em recursos de computação, como clusters. Aplica-se somente aos recursos de computação no plano de computação clássico na sua assinatura do Azure. Consulte Computação sem servidor e chaves gerenciadas pelo cliente. | Discos gerenciados |
Para obter segurança adicional para sua instância de conta de armazenamento do workspace em sua assinatura do Azure, você pode habilitar a criptografia dupla e o suporte ao firewall. Consulte Configurar criptografia dupla para raiz do DBFS e Habilitar o suporte de firewall para sua conta de armazenamento do workspace.
Importante
Somente painéis de IA/BI criados após 1º de novembro de 2024 são criptografados e compatíveis com chaves gerenciadas pelo cliente.
Somente os espaços Genie de IA/BI criados após 10 de abril de 2025 são criptografados e compatíveis com chaves gerenciadas pelo cliente.
Computação sem servidor e chaves gerenciadas pelo cliente
O SQL do Databricks Sem Servidor tem suporte para:
Chaves gerenciadas pelo cliente para serviços gerenciados para consultas ao SQL do Databricks e histórico de consultas.
Chaves gerenciadas pelo cliente para o armazenamento DBFS raiz para os resultados do SQL do Databricks.
As chaves gerenciadas pelo cliente para armazenamento em disco gerenciado não se aplicam a recursos de computação sem servidor. Os discos para recursos de computação sem servidor são de curta duração e estão vinculados ao ciclo de vida da carga de trabalho sem servidor. Quando os recursos de computação são interrompidos ou reduzidos verticalmente, as VMs e seu armazenamento são destruídos.
Serviço de Modelo
Os recursos para o Serviço de Modelo, um recurso de computação sem servidor, geralmente estão em duas categorias:
- Os recursos criados para o modelo são armazenados no armazenamento raiz do workspace. Isso inclui os artefatos do modelo e os metadados de versão. Tanto o registro do modelo de espaço de trabalho quanto o MLflow usam esse armazenamento. Você pode configurar esse armazenamento para usar chaves as gerenciadas pelo cliente.
- Os recursos que o Azure Databricks cria diretamente em seu nome incluem a imagem do modelo e o armazenamento efêmero da computação sem servidor. Eles são criptografados com chaves gerenciadas pelo Databricks e não são compatíveis com chaves gerenciadas pelo cliente.