Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
O Autoscaling do Lakebase é a versão mais recente do Lakebase, com computação autoescalável, escala até zero, ramificação e restauração instantânea. Para regiões suportadas, consulte Disponibilidade de Regiões. Se é utilizador do Lakebase Provisioned, consulte Lakebase Provisioned.
As chaves geridas pelo cliente (CMK) permitem-lhe encriptar os dados do projeto Lakebase Autoscaling em repouso (dados armazenados) usando uma chave que a sua organização possui e gere no seu serviço de gestão de chaves na nuvem (KMS). Isto confere à sua organização total soberania sobre a encriptação e ajuda a cumprir os requisitos regulatórios e de conformidade: revogar a chave revoga todo o acesso aos dados.
Requisitos
Esta secção aplica-se a administradores de espaços de trabalho que queiram ativar o CMK para o Lakebase.
- O espaço de trabalho deve estar no plano Premium.
- O CMK aplica-se apenas a novos projetos de Autoscaling do Lakebase criados depois de o suporte ao CMK do Lakebase ter ficado disponível na sua região. Projetos criados antes disso não suportam CMK. Verifique as chaves geridas pelo cliente nas definições do seu projeto para ver o estado de qualquer projeto.
- CMK está disponível apenas para Lakebase Autoscaling. As instâncias Lakebase Provisionadas não suportam CMK.
Ativar CMK para o Lakebase
Os administradores do espaço de trabalho ativam o CMK para o Lakebase ao nível do espaço de trabalho, não por projeto. Uma vez ativado, cada novo projeto Lakebase nesse espaço de trabalho é automaticamente encriptado com a sua chave. Os projetos existentes não são afetados.
O Lakebase utiliza o caso de uso de serviços geridos . Selecione esta opção ao criar a configuração da chave de encriptação na Consola da Conta.
| Recurso | Descrição |
|---|---|
| Habilitar chaves gerenciadas pelo cliente para serviços gerenciados | Guia completo de configuração usando as chaves do software Azure Key Vault. |
| Habilitar chaves gerenciadas pelo cliente HSM para serviços gerenciados | Guia completo de configuração usando as chaves HSM do Azure Key Vault. |
Verificar o estado da encriptação
Como utilizador do Lakebase, não configuras o CMK diretamente. Para verificar se o seu projeto está atualmente encriptado por um CMK:
- Clique no
seletor de aplicações no canto superior direito do seu espaço de trabalho para abrir a aplicação Lakebase. - Seleciona o teu projecto.
- Clique em Definições na barra lateral esquerda.
- Em Chaves geridas pelo cliente, verifique o cartão de estado.
O cartão de estado mostra um dos seguintes:
| Situação | O que significa |
|---|---|
| Activo | O seu projeto é encriptado com uma chave gerida pelo cliente. Não é preciso fazer nada. |
| Não configurado | Nenhuma chave gerida pelo cliente está configurada neste espaço de trabalho. Se a sua organização exigir CMK, contacte o administrador do seu espaço de trabalho. |
| Não suportado | Este projeto foi criado antes de as chaves geridas pelo cliente estarem disponíveis nesta região e não é encriptado com uma CMK. |
| Chave inacessível | A chave de encriptação do espaço de trabalho gerida pelo cliente já não está acessível. O seu projeto não está disponível. Contacte o administrador do seu espaço de trabalho para restaurar o acesso ao KMS. Ver revogação da chave. |
Rotação de chaves
Quando o administrador do seu espaço de trabalho roda a chave de encriptação no seu KMS na nuvem, os projetos Lakebase não são afetados. Os projetos permanecem acessíveis sem necessidade de tempo de inatividade ou ação.
Revogação de chaves
Se a chave gerida pelo cliente for revogada, eliminada ou as suas permissões forem alteradas para que o Azure Databricks já não possa aceder a ela:
- Todos os projetos Lakebase no espaço de trabalho tornam-se indisponíveis.
- A execução de instâncias de computação para projetos suportados por CMK é interrompida.
- Novos projetos não podem ser criados.
- Aparece um banner na consola Lakebase: Projetos de base de dados indisponíveis devido a problemas de acesso à chave.
Para restaurar o acesso, um administrador do espaço de trabalho deve reativar a chave ou restaurar as suas permissões no seu KMS na cloud. Depois de a chave estar novamente acessível, permita algum tempo para que a alteração se propague antes de reiniciar as suas instâncias de computação e aceder aos seus projetos.
Importante
A revogação de chaves afeta todos os recursos do Azure Databricks no espaço de trabalho que utilizam a chave de serviços geridos, não apenas os projetos Lakebase. Para mais informações sobre chaves geridas pelo cliente, consulte Chaves geridas pelo cliente para encriptação.