Chave gerenciada pelo cliente para Lakebase
Lakebase autoscale é a versão mais recente do Lakebase, com recursos como autoscale compute, escala-to-zero, branching e instant restore. Para regiões compatíveis, consulte Disponibilidade por região. Se você é usuário de provisionamento Lakebase , consulte ProvisionamentoLakebase.
A chave de gerenciamento do cliente (CMK) permite criptografar os dados em repouso do projeto Lakebase Autoscale (armazenados usando uma key que sua organização possui e gerencia em seu serviço de gerenciamento key cloud (KMS)). Isso confere à sua organização total soberania sobre sua criptografia e ajuda a atender aos requisitos regulatórios e compliance : revogar a key revoga todo o acesso aos dados.
Requisitos
Esta seção se aplica a administradores workspace que desejam habilitar o CMK para Lakebase.
- O workspace deve estar no nível Enterprise.
- O CMK aplica-se apenas a novos projetos de escalonamento automático Lakebase criados após a disponibilização do suporte ao CMK Lakebase na sua região. Projetos criados anteriormente não são compatíveis com CMK. Verifique a chave de gerenciamento do cliente nas configurações do projeto para ver o status de qualquer projeto.
- CMK está disponível apenas para o autoscale Lakebase . As instâncias de provisionamento Lakebase não oferecem suporte a CMK.
Habilitar CMK para Lakebase
Os administradores do espaço de trabalho habilitam a CMK para Lakebase no nível workspace , e não por projeto. Uma vez ativado, todos os novos projetos Lakebase nesse workspace são criptografados automaticamente com a sua key. Os projetos existentes não serão afetados.
Lakebase usa o caso de uso serviço gerenciado . Selecione esta opção ao criar a configuração da sua key de criptografia no Console da conta.
Recursos | Descrição |
|---|---|
Configure a chave de gerenciamento do cliente para criptografia. | Passo a passo completo da configuração: criação key AWS KMS , política key , permissões IAM role entreaccount e vinculação workspace . |
Verificar o estado da criptografia
Como usuário do Lakebase, você não configura o CMK diretamente. Para verificar se o seu projeto está atualmente criptografado por uma CMK:
- Clique no
Use o seletor de aplicativos no canto superior direito da sua workspace para abrir o aplicativo Lakebase . - Selecione seu projeto.
- Clique em Configurações na barra lateral esquerda.
- Em Chave de gerenciamento de clientes , verifique o cartão de status.
O cartão de status exibe uma das seguintes opções:
Status | O que significa |
|---|---|
Ativas | Seu projeto está criptografado com uma key gerenciadora do cliente. Nenhuma ação necessária. |
Não configurado | Nenhuma key de gerenciamento de cliente está configurada neste workspace. Se a sua organização exigir CMK, entre em contato com o administrador do seu workspace . |
Não suportado | Este projeto foi criado antes que as chaves CMK (Customer-Gerenciar Key) estivessem disponíveis nesta região e não está criptografado com uma CMK. |
chave inacessível | A key de criptografia workspace do cliente não está mais acessível. Seu projeto não está disponível. Contate o administrador do seu workspace para restaurar o acesso KMS . Veja revogação da chave. |
rotação da chave
Quando o administrador do seu workspace rotaciona a key no seu KMS cloud , os projetos Lakebase não são afetados. Os projetos permanecem acessíveis sem necessidade de interrupção ou ação.
revogação da chave
Se a key customer-gerenciar for revogada, excluída ou suas permissões forem alteradas de forma que Databricks não consiga mais acessá-la:
- Todos os projetos Lakebase na workspace ficarão indisponíveis.
- As instâncias compute em execução para projetos compatíveis com CMK foram interrompidas.
- Não é possível criar novos projetos.
- Aparece um aviso no console Lakebase : Projetos de banco de dados indisponíveis devido a um problema de acesso key .
Para restaurar o acesso, um administrador workspace deve reativar a key ou restaurar suas permissões no seu KMS cloud . Após a key estar acessível novamente, aguarde alguns instantes para que a alteração se propague antes de reiniciar suas instâncias compute e acessar seus projetos.
A revogação da chave afeta todos os recursos Databricks no workspace que usam a key de serviço, não apenas os projetos Lakebase . Para obter mais informações sobre a chave gerenciada pelo cliente, consulte Chave gerenciada pelo cliente para criptografia.