DBFS 루트에 대한 고객 관리형 키
참고 항목
이 기능은 프리미엄 플랜에서만 사용할 수 있습니다.
데이터에 대한 추가 제어를 위해 사용자 고유의 키를 추가하여 일부 유형의 데이터에 대한 액세스를 보호하고 제어할 수 있습니다. Azure Databricks에는 서로 다른 유형의 데이터 및 위치를 포함하는 두 가지 고객 관리형 주요 기능이 있습니다. 비교는 암호화를 위한 고객 관리형 키를 참조하세요.
기본적으로 스토리지 계정은 Microsoft 관리형 키로 암호화됩니다. DBFS 루트의 고객 관리형 키를 추가하면 Azure Databricks가 이 키를 사용하여 작업 영역의 루트 Blob 스토리지에 있는 모든 데이터를 암호화합니다.
- 작업 영역 스토리지 계정에는 DBFS의 기본 위치인 작업 영역의 DBFS 루트가 포함됩니다. DBFS(Databricks 파일 시스템 )는 Azure Databricks 작업 영역에 탑재된 분산 파일 시스템이며 Azure Databricks 클러스터에서 사용할 수 있습니다. DBFS는 Azure Databricks 작업 영역의 관리형 리소스 그룹에서 Blob 스토리지 인스턴스로 구현됩니다. 작업 영역 스토리지 계정에는 DBFS 루트에 MLflow 모델 및 Delta Live Table 데이터가 포함되지만, 이는 DBFS 마운트에는 해당되지 않습니다.
- 작업 영역 스토리지 계정에는 작업 결과, Databricks SQL 결과, Notebook 수정 버전 및 기타 작업 영역 데이터가 포함된 작업 영역의 시스템 데이터(DBFS 경로를 사용하여 직접 액세스할 수 없음)도 포함됩니다.
Important
이 기능은 DBFS 루트에 영향을 주지만 추가 Blob 또는 ADLS 스토리지의 DBFS 탑재와 같은 추가 DBFS 탑재의 데이터를 암호화하는 데는 사용되지 않습니다. 탑재는 레거시 액세스 패턴입니다. Databricks는 모든 데이터 액세스를 관리하기 위해 Unity Catalog 사용하는 것이 좋습니다. Unity Catalog을 사용하여 클라우드 객체 스토리지 및 서비스에 연결하는 방법을 참조하십시오.
고객 관리형 키를 저장하려면 Azure Key Vault를 사용해야 합니다. Azure Key Vault 자격 증명 모음 또는 Azure Key Vault 관리형 HSM(하드웨어 보안 모듈)에 키를 저장할 수 있습니다. Azure Key Vault 자격 증명 모음 및 HSM에 대한 자세한 내용은 Key Vault 키에 대해 참조 하세요. Azure Key Vault 자격 증명 모음 및 Azure Key Vault HSM을 사용하기 위한 다양한 지침이 있습니다.
KeyVault는 Azure Databricks 작업 영역과 동일한 Azure 테넌트에 있어야 합니다.
다음 세 가지 방법으로 작업 영역 스토리지 계정에 Azure Key Vault 자격 증명 모음을 사용하여 고객 관리형 키를 사용하도록 설정할 수 있습니다.
- Azure Portal을 사용하여 DBFS에 대한 고객 관리형 키 구성
- Azure CLI를 사용하여 DBFS에 대한 고객 관리형 키 구성
- PowerShell을 사용하여 DBFS에 대한 고객 관리형 키 구성
다음 세 가지 방법으로 작업 영역 스토리지 계정에 Azure Key Vault HSM을 사용하여 고객 관리형 키를 사용하도록 설정할 수도 있습니다.