Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
cette fonctionnalité nécessite le plan Premium.
Cette page fournit une vue d’ensemble des clés gérées par le client pour le chiffrement. Certains services et données permettent d’ajouter une clé gérée par le client pour protéger et contrôler l’accès aux données chiffrées. Vous pouvez utiliser le service de gestion des clés dans votre cloud pour maintenir une clé de chiffrement gérée par le client.
Azure Databricks prend en charge les clés gérées par le client à partir de coffres Azure Key Vault et Azure Key Vault HSM managé (modules de sécurité matérielle).
Cas d’utilisation de clés gérées par le client
Azure Databricks dispose de trois fonctionnalités clés gérées par le client pour différents types de données :
- Clés gérées par client pour les disques Azure gérés
- Clés managées par le client pour les services managés
- Clés managées par le client pour la racine DBFS
Le tableau suivant répertorie les fonctionnalités de clés gérées par le client utilisées pour chaque type de données.
| Type de données | Emplacement | Fonctionnalité de clé gérée par le client |
|---|---|---|
| Tableaux de bord IA/BI | Plan de contrôle | Services managés |
| Génie Espaces | Plan de contrôle | Services managés |
| Source et métadonnées du notebook | Plan de contrôle | Services managés |
| Jetons d’accès personnels (PAT) ou autres informations d’identification utilisés pour l’intégration de Git avec des dossiers Git Databricks | Plan de contrôle | Services managés |
| Secrets stockés par les API du gestionnaire de secrets | Plan de contrôle | Services managés |
| Requêtes SQL de Databricks et historique des requêtes | Plan de contrôle | Services managés |
| Index et métadonnées de recherche vectorielle | Plan de calcul sans serveur | Services managés |
| Données de projet de mise à l’échelle automatique Lakebase | Plan de contrôle | Services managés |
| Données racine DBFS accessibles au client | La racine DBFS de votre espace de travail dans votre compte de stockage d'espace de travail dans votre abonnement Azure. Cela inclut également la zone FileStore. | Racine DBFS |
| Résultats de la tâche | Compte de stockage d’espace de travail dans votre abonnement Azure | Racine DBFS |
| Résultats de Databricks SQL | Compte de stockage d’espace de travail dans votre abonnement Azure | Racine DBFS |
| Modèles MLflow | Compte de stockage d’espace de travail dans votre abonnement Azure | Racine DBFS |
| Pipelines déclaratifs Spark Lakeflow | Si vous utilisez un chemin DBFS dans votre racine DBFS, celui-ci est stocké dans votre compte de stockage d’espace de travail dans votre abonnement Azure. Cela ne s’applique pas aux chemins DBFS qui représentent des points de montage vers d’autres sources de données. | Racine DBFS |
| Résultats d’un notebook interactif | Par défaut, lorsque vous exécutez un notebook de manière interactive (plutôt qu’en tant que tâche), les résultats sont stockés dans le plan de contrôle pour optimiser les performances, tandis que certains résultats importants sont stockés dans le compte de stockage associé à votre espace de travail dans votre abonnement Azure. Vous pouvez choisir de configurer Azure Databricks pour stocker tous les résultats interactifs du notebook dans votre compte de stockage d’espace de travail. Consultez Configurer l’emplacement de stockage des résultats de notebooks interactifs. | Pour obtenir des résultats partiels dans le plan de contrôle, utilisez une clé gérée par le client pour les services managés. Pour les résultats situés dans le compte de stockage de l’espace de travail, que vous pouvez configurer pour l’ensemble du stockage des résultats, utilisez une clé gérée par le client pour la racine DBFS. |
| Autres données système d’espace de travail présentes dans le compte de stockage de l’espace de travail, qui sont inaccessibles via DBFS, par exemple les révisions de notebooks. | Compte de stockage d’espace de travail dans votre abonnement Azure | Racine DBFS |
| Disques managés | Stockage sur disque temporaire des machines virtuelles dans des ressources de calcul, comme des clusters. S’applique uniquement aux ressources de calcul dans le plan de calcul classique de votre abonnement Azure. Consultez l'informatique sans serveur et les clés gérées par le client. | Disques managés |
| Images de conteneur de service de modèle et artefacts de modèle | Plan de contrôle | Services managés |
Pour une sécurité supplémentaire pour votre instance de compte de stockage d’espace de travail dans votre abonnement Azure, vous pouvez activer la prise en charge du double chiffrement et du pare-feu. Consultez Configurer le double chiffrement pour la racine DBFS et Activer la prise en charge du pare-feu pour votre compte de stockage des espaces de travail.
Important
Seuls les tableaux de bord IA/BI créés après le 1er novembre 2024 sont chiffrés et compatibles avec les clés gérées par le client.
Seuls Genie Spaces créés après le 10 avril 2025 sont chiffrés et compatibles avec les clés gérées par le client.
Calcul serverless et clés gérées par le client
Databricks SQL Serverless prend en charge :
Clés gérées par le client pour les services gérés pour les requêtes Databricks SQL et l'historique des requêtes.
Clés gérées par le client pour le stockage racine DBFS pour les résultats SQL Databricks.
Les clés gérées par le client pour le stockage sur disque managé ne s’appliquent pas aux ressources de calcul serverless. Les disques destinés aux ressources de calcul sans serveur sont temporaires et reliés au cycle de vie de la charge de travail sans serveur. Lorsque les ressources de calcul sont arrêtées ou réduites, les machines virtuelles et leur stockage sont détruits.
Utilisation de modèles
Les ressources pour Model Serving, une fonctionnalité de calcul serverless, se répartissent généralement en deux catégories :
- Ressources que vous créez : les artefacts de modèle et les métadonnées de version sont stockés dans le stockage racine de votre espace de travail. Model Serving et MLflow utilisent ce stockage. Vous pouvez configurer le chiffrement de clé gérée par le client pour ces données.
- Les ressources qu'Azure Databricks crée : les images de conteneur et les artefacts de modèle sont stockés dans le registre géré par Databricks. Les clés gérées par le client pour les services managés chiffrent ces données.