Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Nota
Este recurso requer o plano Premium.
Esta página fornece uma visão geral das chaves gerenciadas pelo cliente para criptografia. Alguns serviços e dados suportam a adição de uma chave gerenciada pelo cliente para ajudar a proteger e controlar o acesso a dados criptografados. Você pode usar o serviço de gerenciamento de chaves em sua nuvem para manter uma chave de criptografia gerenciada pelo cliente.
O Azure Databricks dá suporte a chaves gerenciadas pelo cliente dos cofres do Azure Key Vault e do Azure Key Vault Managed HSM (Módulos de Segurança de Hardware).
Principais casos de uso gerenciados pelo cliente
O Azure Databricks tem três funcionalidades de chave gerida pelo cliente para diferentes tipos de dados:
- Chaves geridas pelo cliente para discos geridos do Azure
- Chaves geridas pelo cliente para serviços geridos
- Chaves geridas pelo cliente para o root do DBFS
A tabela a seguir lista quais recursos-chave gerenciados pelo cliente são usados para quais tipos de dados.
| Tipo de dados | Localização | Recurso chave gerenciado pelo cliente |
|---|---|---|
| Painéis de IA/BI | Plano de controlo | Serviços geridos |
| Génio de IA/BI | Plano de controlo | Serviços geridos |
| Origem e metadados do bloco de notas | Plano de controlo | Serviços geridos |
| Tokens de acesso pessoal (PAT) ou outras credenciais usadas para integração do Git com as pastas Git do Databricks | Plano de controlo | Serviços geridos |
| Segredos armazenados pelas APIs do gerenciador de segredos | Plano de controlo | Serviços geridos |
| Consultas SQL Databricks e histórico de consultas | Plano de controlo | Serviços geridos |
| Pesquisa Vetorial índices e metadados | Plano de computação sem servidor | Serviços geridos |
| Dados raiz DBFS acessíveis pelo cliente | Raiz DBFS do seu espaço de trabalho na sua conta de armazenamento de espaço de trabalho na sua subscrição do Azure. Isso também inclui a área FileStore. | Raiz do DBFS |
| Resultados do trabalho | Conta de armazenamento de espaço de trabalho em sua assinatura do Azure | Raiz do DBFS |
| Resultados do Databricks SQL | Conta de armazenamento de espaço de trabalho em sua assinatura do Azure | Raiz do DBFS |
| Modelos MLflow | Conta de armazenamento de espaço de trabalho em sua assinatura do Azure | Raiz do DBFS |
| Oleodutos declarativos Lakeflow Spark | Se você usar um caminho DBFS em sua raiz DBFS, ele será armazenado em sua conta de armazenamento de espaço de trabalho em sua assinatura do Azure. Isso não se aplica a caminhos DBFS que representam pontos de montagem para outras fontes de dados. | Raiz do DBFS |
| Resultados do bloco de notas interativo | Por padrão, quando você executa um bloco de anotações interativamente (em vez de como um trabalho), os resultados são armazenados no plano de controle para desempenho com alguns resultados grandes armazenados em sua conta de armazenamento de espaço de trabalho em sua assinatura do Azure. Você pode optar por configurar o Azure Databricks para armazenar todos os resultados do bloco de anotações interativo em sua conta de armazenamento do espaço de trabalho. Consulte Configurar o local de armazenamento para obter resultados interativos do bloco de anotações. | Para obter resultados parciais no plano de controle, use uma chave gerenciada pelo cliente para serviços gerenciados. Para obter resultados na conta de armazenamento do espaço de trabalho, que pode configurar para todo o armazenamento de resultados, use uma chave gerida pelo cliente para DBFS root. |
| Outros dados do sistema de espaço de trabalho na conta de armazenamento do espaço de trabalho que estão inacessíveis por meio do DBFS, como revisões de bloco de anotações. | Conta de armazenamento de espaço de trabalho em sua assinatura do Azure | Raiz do DBFS |
| Discos geridos | Armazenamento temporário em disco de VMs em recursos de computação, como clusters. Aplica-se apenas a recursos de computação no plano de computação clássico na sua subscrição do Azure. Veja Computação sem servidor e chaves geridas pelo cliente. | Discos geridos |
Para obter segurança adicional para sua instância de conta de armazenamento de espaço de trabalho em sua assinatura do Azure, você pode habilitar criptografia dupla e suporte a firewall. Consulte Configurar criptografia dupla para a raiz DBFS e Ativar suporte a firewall para a sua conta de armazenamento do espaço de trabalho.
Importante
Somente painéis de IA/BI criados após 1º de novembro de 2024 são criptografados e compatíveis com chaves gerenciadas pelo cliente.
Apenas os espaços AI/BI Genie criados após 10 de abril de 2025 são criptografados e compatíveis com chaves gerenciadas pelo cliente.
Computação sem servidor e chaves gerenciadas pelo cliente
Databricks SQL Serverless suporta:
Chaves geridas pelo cliente para serviços geridos para consultas SQL do Databricks e histórico de consultas.
Chaves geridas pelo cliente para armazenamento DBFS raiz para resultados SQL do Databricks.
As chaves gerenciadas pelo cliente para armazenamento em disco gerenciado não se aplicam a recursos de computação sem servidor. Os discos para recursos de computação sem servidor são de curta duração e vinculados ao ciclo de vida da carga de trabalho sem servidor. Quando os recursos de computação são interrompidos ou reduzidos, as VMs e seu armazenamento são destruídos.
Serviço de Modelos
Os recursos para o Model Serving, um recurso de computação sem servidor, geralmente estão em duas categorias:
- Os recursos criados para o modelo são armazenados no armazenamento raiz do espaço de trabalho. Isso inclui os artefatos do modelo e os metadados da versão. Tanto o registro do modelo de espaço de trabalho quanto o MLflow usam esse armazenamento. Você pode configurar esse armazenamento para usar chaves gerenciadas pelo cliente.
- Os recursos que o Azure Databricks cria diretamente em seu nome incluem a imagem do modelo e o armazenamento de computação efêmero sem servidor. Eles são criptografados com chaves gerenciadas pelo Databricks e não suportam chaves gerenciadas pelo cliente.