Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Эта функция доступна только в плане Premium.
Чтобы расширить возможности управления данными, можно добавить собственный ключ для защиты доступа к определенным типам данных и управления им. Azure Databricks предлагает два варианта ключей, управляемых клиентом, для разных типов данных и расположений. Их сравнение можно найти в статье Ключи для шифрования, управляемые клиентом.
По умолчанию учетная запись хранения шифруется с помощью ключей, управляемых корпорацией Майкрософт. После добавления клиентского ключа управления для корневого каталога DBFS, Azure Databricks использует ваш ключ для шифрования всех данных в корневом хранилище Blob рабочей области.
- Учетная запись хранилища рабочей области содержит корневой каталог DBFS вашей рабочей области, являющийся расположением по умолчанию в DBFS. Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализуется как экземпляр хранилища BLOB-объектов в управляемой группе ресурсов рабочей области Azure Databricks. Учетная запись хранения рабочей области включает в себя модели MLflow и декларативные конвейеры Lakeflow в корневом каталоге DBFS (но не для подключений DBFS).
- Учетная запись хранения рабочей области также включает системные данные рабочей области, которые недоступны для вас напрямую через пути DBFS, включая результаты заданий, результаты Databricks SQL, версии блокнота и некоторые другие данные рабочей области.
Внимание
Эта функция влияет на корневой каталог DBFS, но не используется для шифрования данных на любых дополнительных точках монтирования DBFS, таких как точки монтирования дополнительного хранилища BLOB или ADLS. Монты — это устаревший шаблон доступа. Databricks рекомендует использовать каталог Unity для управления доступом ко всем данным. См. статью "Подключение к облачному хранилищу объектов" с помощью каталога Unity.
Вы должны использовать Azure Key Vault для хранения управляемых клиентом ключей. Вы можете хранить ключи в хранилищах Azure Key Vault или управляемых аппаратных модулях безопасности Хранилища ключей Azure (HSM). Дополнительные сведения о хранилищах ключей Azure Key Vault и HSM см. в статье О ключах Azure Key Vault. Существуют различные инструкции по использованию хранилищ Azure Key Vault и Azure Key Vault HSM.
Хранилище ключей должно находиться в том же клиенте Azure, что и рабочая область Azure Databricks.
Вы можете включить управляемые клиентом ключи с помощью хранилищ Azure Key Vault для учетной записи хранения рабочей области тремя способами:
- настройка ключей, управляемых клиентом, для DBFS с помощью портала Azure;
- настройка ключей, управляемых клиентом, для DBFS с помощью Azure CLI;
- настройка ключей, управляемых клиентом, для DBFS с помощью PowerShell.
Вы также можете активировать ключи, управляемые клиентом, используя HSM Azure Key Vault, для аккаунта хранилища рабочей области тремя способами: