Chaves gerenciadas pelo cliente para serviços gerenciados
Observação
Este recurso requer o plano Premium.
Para um controlo adicional dos seus dados, pode adicionar a sua própria chave para proteger e controlar o acesso a alguns tipos de dados. O Azure Databricks tem três recursos principais gerenciados pelo cliente para diferentes tipos de dados e locais. Para compará-los, consulte Chaves geridas pelo cliente para criptografia.
Os dados de serviços gerenciados no plano de controle do do Azure Databricks são criptografados em repouso. Você pode adicionar uma chave gerenciada pelo cliente para serviços gerenciados para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Origem do notebook no plano de controlo do Azure Databricks
- Os resultados de notebooks executados interativamente (e não como tarefas) são armazenados no plano de controle. Por padrão, resultados maiores também são armazenados no bucket raiz do espaço de trabalho. Você pode configurar o Azure Databricks para armazenar todos os resultados do bloco de anotações interativo em sua conta de nuvem.
- Os segredos armazenados pelas APIs de gestão de segredos .
- Databricks SQL consultas e histórico de consultas.
- Tokens de acesso pessoal (PAT) ou outros credentials usados para set a integração do Git com pastas Databricks Git.
Depois de adicionar uma chave gerenciada pelo cliente para criptografia de serviços gerenciados para um espaço de trabalho, o Azure Databricks usa sua chave para controlar o acesso à chave que criptografa operações de gravação futuras nos dados de serviços gerenciados do seu espaço de trabalho. Os dados existentes não são criptografados novamente. A chave de criptografia de dados é armazenada em cache na memória para várias operações de leitura e gravação e removida da memória em um intervalo regular. Novas solicitações para esses dados exigem outra solicitação para o sistema de gerenciamento de chaves do seu serviço de nuvem. Se você excluir ou revoke sua chave, a leitura ou gravação nos dados protegidos falhará no final do intervalo de tempo do cache. Você pode girar (update) a chave gerenciada pelo cliente posteriormente.
Importante
Se você girar a chave, você deve manter a chave antiga disponível por 24 horas.
Esse recurso não criptografa dados armazenados fora do plano de controle . Para encriptar dados na sua conta de armazenamento do espaço de trabalho, consulte chaves geridas pelo cliente para a raiz do DBFS.
Você pode habilitar chaves geridas pelo cliente usando os cofres do Azure Key Vault ou os HSMs do Azure Key Vault.