適用於加密的客戶自控金鑰
本文提供用於加密之客戶自控金鑰的概觀。
注意
此功能需要進階版方案。
適用於加密之客戶自控金鑰概觀
某些服務和資料支援會新增客戶自控金鑰,以協助保護及控制加密資料的存取。 您可以使用雲端中的金鑰管理服務來維護客戶自控的加密金鑰。
Azure Databricks 支援來自 Azure Key Vault 保存庫和 Azure Key Vault 受控 HSM (硬體安全模組 (HSM)) 的客戶自控金鑰。
Azure Databricks 有三個客戶自控金鑰功能,適用於不同類型的資料:
以下資料表列出哪些客戶自控金鑰功能會用於哪一種資料類型。
| 資料類型 | Location | 客戶自控金鑰功能 |
|---|---|---|
| AI/BI 儀表板 | 控制平面 | 受管理的服務 |
| 筆記本來源和中繼資料 | 控制平面 | 受管理的服務 |
| 個人存取權杖 (PAT) 或其他用於 Git 與 Databricks Git 資料夾整合的認證 | 控制平面 | 受管理的服務 |
| 密碼管理員 API 所儲存的密碼 | 控制平面 | 受管理的服務 |
| Databricks SQL 查詢和查詢歷史記錄 | 控制平面 | 受管理的服務 |
| 向量搜尋索引和中繼資料 | 無伺服器計算平面 | 受管理的服務 |
| 客戶可存取的 DBFS 根目錄資料 | 您工作區的 DBFS 根目錄位於 Azure 訂用帳戶的工作區儲存體帳戶中。 這也包含 FileStore 區域。 | DBFS 根目錄 |
| 工作結果 | 您的 Azure 訂用帳戶中的工作區儲存體帳戶 | DBFS 根目錄 |
| Databricks SQL 結果 | 您的 Azure 訂用帳戶中的工作區儲存體帳戶 | DBFS 根目錄 |
| MLflow 模型 | 您的 Azure 訂用帳戶中的工作區儲存體帳戶 | DBFS 根目錄 |
| 差異即時資料表 | 如果您在 DBFS 根目錄中使用 DBFS 路徑,這會儲存在 Azure 訂用帳戶中的工作區儲存體帳戶中。 這不會套用至代表對其他資料來源之掛接點的 DBFS 路徑。 | DBFS 根目錄 |
| 互動式筆記本結果 | 根據預設,當您以互動方式執行筆記本時 (而非以工作執行),結果會儲存在控制平面中,以實現效能,且某些大型結果會儲存在 Azure 訂用帳戶中的工作區儲存體帳戶中。 您可以選擇將 Azure Databricks 設定為將所有互動式筆記本結果儲存在工作區儲存體帳戶中。 請參閱<設定互動式筆記本結果的儲存位置>。 | 如需控制平面中的部分結果,請使用客戶自控金鑰進行受管理的服務。 針對工作區儲存體帳戶中的結果,您可以針對所有結果儲存體進行設定,請對 DBFS 根目錄使用客戶自控金鑰。 |
| 工作區儲存體帳戶中無法透過 DBFS 存取的其他工作區系統資料,例如筆記本修訂。 | 您的 Azure 訂用帳戶中的工作區儲存體帳戶 | DBFS 根目錄 |
| 受控磁碟 | 計算資源中 VM 的暫存磁碟儲存體,例如叢集。 只會套用至 Azure 訂用帳戶之傳統計算平面中的計算資源。 請參閱無伺服器計算和客戶自控金鑰。 | 受控磁碟 |
如需 Azure 訂用帳戶中工作區儲存體帳戶執行個體的其他安全性,您可以啟用雙重加密和防火牆支援。 請參閱<為 DBFS 根目錄設定雙重加密>和<為工作區儲存體帳戶啟用防火牆支援>。
重要
只有 2024 年 11 月 1 日之後建立的 AI/BI 儀錶板會加密並與客戶管理的密鑰相容。
無伺服器計算和客戶自控金鑰
適用於 Databricks SQL 查詢和查詢歷史記錄之受管理服務的客戶自控金鑰。
適用於 Databricks SQL 結果之 DBFS 根目錄儲存體的客戶自控金鑰。
受控磁碟儲存體的客戶自控金鑰不會套用至無伺服器計算資源。 無伺服器計算資源的磁碟是短期的,且繫結至無伺服器工作負載的生命週期。 當計算資源停止或縮小時,VM 及其儲存體會終結。
模型服務
模型服務的資源是無伺服器計算功能,通常分為兩個類別:
- 您為模型建立的資源會儲存在 ADLSgen2 之工作區儲存體的工作區 DBFS 根目錄中 (若為較舊的工作區,則是儲存在 Blob 儲存體)。 這包括模型的成品和版本中繼資料。 工作區模型登錄和 MLflow 都會使用此儲存體。 您可以將此儲存體設定為使用客戶自控金鑰。
- Azure Databricks 直接代表您建立的資源包括模型映像和暫時無伺服器計算儲存體。 這些會使用 Databricks 管理的金鑰加密,且不支援客戶自控金鑰。
受控磁碟儲存體的客戶自控金鑰不會套用至無伺服器計算資源。 無伺服器計算資源的磁碟是短期的,且繫結至無伺服器工作負載的生命週期。 當計算資源停止或縮小時,VM 及其儲存體會終結。