Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
O Dimensionamento Automático do Lakebase é a versão mais recente do Lakebase, com computação de dimensionamento automático, escala para zero, ramificação e restauração instantânea. Para regiões com suporte, consulte a disponibilidade da região. Se você for um usuário provisionado do Lakebase, consulte Lakebase Provisioned.
As CMK (chaves gerenciadas pelo cliente) permitem criptografar dados do projeto de dimensionamento automático do Lakebase em repouso (dados armazenados) usando uma chave que sua organização possui e gerencia em seu KMS (serviço de gerenciamento de chaves de nuvem). Isso fornece à sua organização total soberania sobre sua criptografia e ajuda a atender aos requisitos regulatórios e de conformidade: revogar a chave revoga todo o acesso aos dados.
Requisitos
Esta seção se aplica aos administradores do workspace que desejam habilitar o CMK para Lakebase.
- O workspace deve estar no plano Premium.
- O CMK aplica-se somente a novos projetos de dimensionamento automático do Lakebase criados após o suporte do CMK do Lakebase ficar disponível em sua região. Projetos criados antes disso não dão suporte ao CMK. Verifique as chaves gerenciadas pelo cliente nas configurações do projeto para ver o status de qualquer projeto.
- O CMK está disponível somente para dimensionamento automático do Lakebase. As instâncias provisionadas do Lakebase não dão suporte ao CMK.
Habilitar o CMK para Lakebase
Os administradores do workspace habilitam o CMK para Lakebase no nível do workspace, não por projeto. Uma vez habilitado, cada novo projeto do Lakebase nesse workspace é criptografado automaticamente com sua chave. Os projetos existentes não são afetados.
O Lakebase usa o caso de uso de serviços gerenciados . Selecione isso ao criar sua configuração de chave de criptografia no Console da Conta.
| Recurso | Descrição |
|---|---|
| Habilitar chaves gerenciadas pelo cliente para serviços gerenciados | Passo a passo completo da configuração usando chaves de software do Azure Key Vault. |
| Habilitar as chaves gerenciadas pelo cliente do HSM para serviços gerenciados | Passo a passo completo de configuração usando chaves HSM do Azure Key Vault. |
Verificar o status da criptografia
Como usuário do Lakebase, você não configura o CMK diretamente. Para verificar se o projeto está criptografado por um CMK no momento:
- Clique no
Comutador de aplicativos no canto superior direito do seu espaço de trabalho para abrir o Aplicativo Lakebase. - Selecione seu projeto.
- Clique em Configurações na barra lateral esquerda.
- Em chaves gerenciadas pelo cliente, verifique o cartão de status.
O cartão de status mostra um dos seguintes:
| Situação | O que significa |
|---|---|
| Ativo | Seu projeto é criptografado com uma chave gerenciada pelo cliente. Nenhuma ação é necessária. |
| Não configurado | Nenhuma chave gerenciada pelo cliente está configurada neste workspace. Se sua organização exigir CMK, entre em contato com o administrador do workspace. |
| Sem suporte | Esse projeto foi criado antes que as chaves gerenciadas pelo cliente estivessem disponíveis nessa região e não fossem criptografadas com um CMK. |
| Chave inacessível | A chave de criptografia do workspace gerenciado pelo cliente não está mais acessível. Seu projeto não está disponível. Entre em contato com o administrador do espaço de trabalho para restaurar o acesso ao KMS. Consulte revogação de chave. |
Rotação de chaves
Quando o administrador do workspace gira a chave no KMS da nuvem, os projetos do Lakebase não são afetados. Os projetos permanecem acessíveis sem tempo de inatividade ou ação necessária.
Revogação de chave
Se a chave gerenciada pelo cliente for revogada, excluída ou suas permissões forem alteradas para que Azure Databricks não possam mais acessá-la:
- Todos os projetos do Lakebase no workspace ficam indisponíveis.
- A execução de instâncias de computação para projetos compatíveis com CMK é interrompida.
- Não é possível criar novos projetos.
- Um banner aparece no console do Lakebase: projetos de banco de dados indisponíveis devido a um problema de acesso à chave.
Para restaurar o acesso, um administrador de workspace deve reabilitar a chave ou restaurar suas permissões no KMS da nuvem. Depois que a chave estiver acessível novamente, dê algum tempo para a alteração se propagar antes de reiniciar as instâncias de computação e acessar seus projetos.
Importante
A revogação de chave afeta todos os recursos Azure Databricks no workspace que usam a chave de serviços gerenciados, não apenas projetos do Lakebase. Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte chaves gerenciadas pelo cliente para criptografia.