Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Esse recurso requer o plano Premium.
Esta página fornece uma visão geral das chaves gerenciadas pelo cliente para criptografia. Alguns serviços e dados têm suporte para adicionar uma chave gerenciada pelo cliente para ajudar a proteger e controlar o acesso a dados criptografados. Você pode usar o serviço de gerenciamento de chaves na sua nuvem para manter uma chave de criptografia gerenciada pelo cliente.
Azure Databricks oferece suporte a chaves gerenciadas pelo cliente a partir de cofres Azure Key Vault e do Azure Key Vault Managed HSM (Módulos de Segurança de Hardware).
Casos de uso de chave gerenciada pelo cliente
Azure Databricks tem três recursos de chave gerenciados pelo cliente para diferentes tipos de dados:
- Chaves gerenciadas pelo cliente para discos gerenciados pela Azure
- Chaves gerenciadas pelo cliente para serviços gerenciados
- Chaves gerenciadas pelo cliente para a raiz do DBFS
A tabela a seguir lista quais recursos de chave gerenciada pelo cliente são usados para quais tipos de dados.
| Tipo de dados | Localização | Funcionalidade de chave gerenciada pelo cliente |
|---|---|---|
| Painéis de Inteligência Artificial e Business Intelligence | Painel de controle | Serviços gerenciados |
| Espaços de gênio | Painel de controle | Serviços gerenciados |
| Origem e metadados do notebook | Painel de controle | Serviços gerenciados |
| Tokens de acesso pessoal (PAT) ou outras credenciais usadas para integração do Git com pastas Git do Databricks | Painel de controle | Serviços gerenciados |
| Segredos armazenados pelas APIs do gerenciador de segredos | Painel de controle | Serviços gerenciados |
| Consultas do Databricks SQL e histórico de consultas | Painel de controle | Serviços gerenciados |
| Índices e metadados da Busca em Vetores | Plano de computação sem servidor | Serviços gerenciados |
| Dados do projeto de dimensionamento automático do Lakebase | Painel de controle | Serviços gerenciados |
| Dados da raiz do DBFS acessíveis ao cliente | A raiz DBFS do seu espaço de trabalho na conta de armazenamento do espaço de trabalho dentro da sua assinatura do Azure. Isso também inclui a área do FileStore. | Raiz do DBFS |
| Resultados de trabalho | Conta de armazenamento do workspace na sua assinatura do Azure | Raiz do DBFS |
| Databricks SQL resultados | Conta de armazenamento de espaço de trabalho na sua assinatura do Azure | Raiz do DBFS |
| Modelos do MLflow | Conta de armazenamento do workspace na sua assinatura do Azure | Raiz do DBFS |
| Pipelines Declarativos Lakeflow Spark | Se você usar um caminho DBFS na raiz do DBFS, ele será armazenado na conta de armazenamento do workspace da sua assinatura do Azure. Isso não se aplica a caminhos DBFS que representam pontos de montagem para outras fontes de dados. | Raiz do DBFS |
| Resultados interativos do notebook | Quando você executa um notebook interativamente (em vez de como um trabalho), por padrão, os resultados são armazenados no plano de controle para otimizar o desempenho, com alguns dos resultados maiores armazenados na sua conta de armazenamento do workspace na sua assinatura do Azure. Você pode optar por configurar Azure Databricks para armazenar todos os resultados interativos do notebook em sua conta de armazenamento do workspace. Veja Configurar o local de armazenamento para resultados interativos do notebook. | Para obter resultados parciais no painel de controle, use uma chave gerenciada pelo cliente para serviços gerenciados. Para obter resultados na conta de armazenamento do workspace, que você pode configurar para todo o armazenamento de resultados, use uma chave gerenciada pelo cliente para a raiz do DBFS. |
| Outros dados do sistema na conta de armazenamento do workspace que estão inacessíveis por meio do DBFS, como revisões de notebooks. | Conta de armazenamento do workspace na sua assinatura do Azure | Raiz do DBFS |
| Discos gerenciados | Armazenamento temporário em disco de VMs em recursos de computação, como clusters. Aplica-se somente a recursos de computação no plano de computação clássico em sua assinatura Azure. Consulte Computação sem servidor e chaves gerenciadas pelo cliente. | Discos gerenciados |
| Model Servindo imagens de contêiner e artefatos de modelo | Painel de controle | Serviços gerenciados |
Para obter segurança adicional para a instância da conta de armazenamento do ambiente de trabalho na sua assinatura do Azure, você pode habilitar a criptografia dupla e o suporte ao firewall. Consulte Configurar criptografia dupla para raiz do DBFS e Habilitar o suporte de firewall para sua conta de armazenamento do workspace.
Importante
Somente os painéis de IA/BI criados após 1º de novembro de 2024 são criptografados e compatíveis com chaves gerenciadas pelo cliente.
Somente os espaços do Genie criados após 10 de abril de 2025 são criptografados e compatíveis com chaves gerenciadas pelo cliente.
Computação sem servidor e chaves gerenciadas pelo cliente
O Databricks SQL Serverless oferece suporte para:
Chaves gerenciadas pelo cliente para serviços gerenciados para consultas ao SQL do Databricks e histórico de consultas.
Chaves gerenciadas pelo cliente para o armazenamento raiz do DBFS para os resultados do Databricks SQL.
As chaves gerenciadas pelo cliente para armazenamento em disco gerenciado não se aplicam a recursos de computação sem servidor. Os discos para recursos de computação sem servidor são de curta duração e estão vinculados ao ciclo de vida da carga de trabalho sem servidor. Quando os recursos de computação são interrompidos ou reduzidos, as VMs e seu armazenamento são destruídos.
Serviço de Modelo
Os recursos para o Serviço de Modelo, um recurso de computação sem servidor, geralmente estão em duas categorias:
- Recursos que você cria: artefatos de modelo e metadados de versão são armazenados no armazenamento raiz do Workspace. Tanto o Model Serving quanto o MLflow usam esse armazenamento. Você pode configurar a criptografia de chave gerenciada pelo cliente para esses dados.
- Os recursos que o Azure Databricks cria: Imagens de contêiner e artefatos de modelo são armazenados no registro gerenciado pelo Databricks. As chaves gerenciadas pelo cliente para serviços gerenciados criptografam esses dados.