Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
La version Lakebase Autoscaling est la dernière de Lakebase, avec l'évolutivité automatique, la mise à l’échelle jusqu'à zéro, la création de branches et la restauration instantanée. Pour connaître les régions prises en charge, consultez disponibilité de la région. Si vous êtes un utilisateur Lakebase Provisionné, consultez Lakebase Provisioned.
Les clés gérées par le client (CMK) vous permettent de chiffrer les données de projet de mise à l’échelle automatique Lakebase au repos (données stockées) à l’aide d’une clé que votre organisation possède et gère dans votre service de gestion des clés cloud (KMS). Cela donne à votre organisation une souveraineté totale sur son chiffrement et permet de répondre aux exigences réglementaires et de conformité : la révocation de la clé révoque tout accès aux données.
Exigences
Cette section s’applique aux administrateurs d’espace de travail qui souhaitent activer CMK pour Lakebase.
- L’espace de travail doit se trouver sur le plan Premium.
- CMK s’applique uniquement aux nouveaux projets de mise à l’échelle automatique Lakebase créés après que la prise en charge de Lakebase CMK soit devenue disponible dans votre région. Les projets créés avant cela ne prennent pas en charge CMK. Consultez les clés gérées par le client dans les paramètres de votre projet pour voir l’état d’un projet.
- CMK est disponible uniquement pour la mise à l’échelle automatique Lakebase. Les instances Lakebase provisionnées ne prennent pas en charge CMK.
Activer CMK pour Lakebase
Les administrateurs d’espace de travail activent CMK pour Lakebase au niveau de l’espace de travail, et non par projet. Une fois activé, chaque nouveau projet Lakebase sur cet espace de travail est automatiquement chiffré avec votre clé. Les projets existants ne sont pas affectés.
Lakebase utilise le cas d’usage des services managés . Sélectionnez cette option lors de la création de votre configuration de clé de chiffrement dans la console de compte.
| Ressource | Description |
|---|---|
| Activer les clés gérées par le client pour les services managés | Procédure pas à pas de configuration complète à l’aide de clés logicielles Azure Key Vault. |
| Activer les clés HSM gérées par le client pour les services managés | Procédure pas à pas de configuration complète à l'aide des clés HSM de Azure Key Vault. |
Vérifier l’état du chiffrement
En tant qu’utilisateur Lakebase, vous ne configurez pas directement CMK. Pour vérifier si votre projet est actuellement chiffré par une clé CMK :
- Cliquez sur
Sélecteur d’applications dans le coin supérieur droit de votre espace de travail pour ouvrir l’application Lakebase. - Sélectionnez votre project.
- Cliquez sur Paramètres dans la barre latérale gauche.
- Sous Clés gérées par le client, vérifiez la carte d’état.
La carte de statut montre l’un des éléments suivants :
| État | Ce que cela signifie |
|---|---|
| Actif | Votre projet est chiffré avec une clé gérée par le client. Aucune action n’est nécessaire. |
| Non configuré | Aucune clé gérée par le client n’est configurée sur cet espace de travail. Si votre organisation a besoin de CMK, contactez l’administrateur de votre espace de travail. |
| Non pris en charge | Ce projet a été créé avant que les clés gérées par le client soient disponibles dans cette région et ne sont pas chiffrées avec une clé CMK. |
| Clé inaccessible | La clé de chiffrement de l’espace de travail gérée par le client n’est plus accessible. Votre projet n’est pas disponible. Contactez l’administrateur de votre espace de travail pour restaurer l’accès KMS. Voir Révocation de clé. |
Rotation des clés
Lorsque l’administrateur de votre espace de travail fait pivoter la clé dans votre service KMS cloud, les projets Lakebase ne sont pas affectés. Les projets restent accessibles sans temps d’arrêt ni action requis.
Révocation de la clé
Si la clé gérée par le client est révoquée, supprimée ou ses autorisations sont modifiées afin que Azure Databricks ne puisse plus y accéder :
- Tous les projets Lakebase sur l’espace de travail deviennent indisponibles.
- L’exécution d’instances de calcul pour les projets pris en charge par CMK est arrêtée.
- Impossible de créer de nouveaux projets.
- Une bannière s’affiche dans la console Lakebase : les projets de base de données ne sont pas disponibles en raison d’un problème d’accès clé.
Pour restaurer l’accès, un administrateur d’espace de travail doit réactiver la clé ou restaurer ses autorisations dans votre service KMS cloud. Une fois la clé accessible à nouveau, laissez un certain temps pour que la modification se propage avant de redémarrer vos instances de calcul et d’accéder à vos projets.
Important
La révocation de clés affecte toutes les ressources Azure Databricks sur l’espace de travail qui utilisent la clé de services managés, pas seulement les projets Lakebase. Pour plus d’informations sur les clés gérées par le client, consultez clés gérées par le client pour le chiffrement.