Chave gerenciadora de clientes para criptografia
Esse recurso requer a camada Enterprise.
Esta página fornece uma visão geral da chave de gerenciamento do cliente para criptografia. Alguns serviços e suporte de dados adicionam um gerenciador de clientes key para auxiliar na proteção e controle do acesso a dados criptografados. É possível utilizar o serviço de gerenciamento key na sua nuvem para manter uma criptografia gerenciada pelo cliente key.
Para obter instruções sobre como configurar a chave, consulte Configurar a chave customer-gerenciar para criptografia.
Cliente - gerenciar casos de uso d key
Databricks tem dois casos de uso para gerenciar o cliente key que envolvem diferentes tipos de dados e locais:
- serviço gerenciado : Dados no plano de controle doDatabricks, incluindo Notebook, segredos, dados de consulta do SQL e dados armazenados em default storage.
- armazenamento do espaço de trabalho : Seu bucket de armazenamento workspace (que contém DBFS root) e os volumes EBS de compute recurso no plano clássico compute. Não se aplica ao armazenamento “default”.
O Unity Catalog também oferece suporte à capacidade de ler e gravar em buckets S3 com a criptografia KMS ativada. Consulte Criar uma credencial de armazenamento que acesse um bucket do AWS S3
Para um espaço de trabalho doserverless (Pré-visualização pública), é necessário apenas configurar a chave para o serviço gerenciado, que se aplica ao armazenamento workspace e ao armazenamento raiz.
Customer-gerenciar key for serviço gerenciado
Os dados do serviço gerenciado no Databricks plano de controle do são criptografados em repouso. O senhor pode adicionar um serviço gerenciado pelo cliente key para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Notebook no Databricks plano de controle do.
- Notebook resultados da execução interativa do Notebook (não como Job) que são armazenados no plano de controle. Em default, os resultados maiores também são armazenados em seu bucket raiz workspace. O senhor pode configurar o Databricks para armazenar todos os resultados do Notebook interativo em sua nuvem account.
- Segredos armazenados nos segredos do Databricks.
- AI/BI painéis de controle.
- AI/BI Genie spaces.
- Databricks SQL consultas e histórico de consultas.
- Acesso pessoal tokens (PAT) ou outras credenciais usadas para configurar a integração Git com as pastas Databricks Git.
- Índices e metadados de pesquisa vetorial.
Como o espaço de trabalho serverless utiliza o armazenamentodefault, o caso de uso do serviço gerenciado também se aplica ao armazenamento workspace e ao armazenamento raiz, que inclui resultados de tarefas, resultados de Databricks SQL, revisões de notebooks e outros dados workspace.
Para configurar a chave de gerenciar o cliente para o serviço gerenciado, consulte Configurar a chave de gerenciar o cliente para criptografia.
Somente os painéis AI/BI criados após 1º de novembro de 2024 são criptografados e compatíveis com a chave gerenciadora de clientes.
Chave para gerenciar o cliente para workspace storage
O senhor pode adicionar um gerenciador de clientes key para o armazenamento workspace para proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Seu bucket de armazenamento workspace: Se o senhor adicionar uma criptografia de armazenamento workspace key, o Databricks criptografará os dados no bucket Amazon S3 em seu AWS account que o senhor especificou ao configurar seu workspace, conhecido como bucket de armazenamento workspace. Esse bucket contém DBFS rootque inclui a área FileStore, MLflow Models e LakeFlow Declarative pipeline data em seu DBFS root (não DBFS mounts). O bucket também inclui dados do sistema workspace, que incluem resultados de trabalhos, resultados de Databricks SQL, revisões de notebooks e outros dados de workspace. Para obter mais informações, consulte Criar um bucket S3 para a implantação do workspace.
- Os volumes EBS do seu clustering (opcional) : Para nós de clustering Databricks Runtime e outros recursos compute no plano clássico compute, o senhor pode, opcionalmente, usar o key para criptografar os volumes EBS remotos da VM.
Esse recurso afeta o seu DBFS root mas não é usado para criptografar dados em quaisquer montagens DBFS adicionais. Para montagens S3 DBFS , o senhor pode usar outras abordagens para gravar dados criptografados com a sua chave. Para obter mais informações, consulte Criptografar dados em S3 buckets. As montagens são um padrão de acesso legado. A Databricks recomenda o uso do Unity Catalog para gerenciar todo o acesso aos dados. Consulte Conectar-se ao armazenamento de objetos na nuvem usando o Unity Catalog.
Comparar os principais casos de uso do gerenciador de clientes
Na tabela abaixo, estão listados os recursos de chave gerenciados pelo cliente usados para tipos específicos de dados.
Os casos de uso da criptografia podem variar de acordo com o tipo de workspace. O espaço de trabalho sem servidor utiliza exclusivamente o caso de uso do serviço gerenciado.
Tipo de dados | Localização | Qual recurso principal gerenciado pelo cliente usar |
|---|---|---|
AI/BI painéis de controle | Plano de controle | Serviços gerenciados |
Origem e metadados do notebook | Plano de controle | Serviços gerenciados |
Acesso pessoal tokens (PAT) ou outras credenciais usadas para integraçãoGit com pastas Databricks Git | Plano de controle | Serviços gerenciados |
Segredos armazenados pelas APIs do gerenciador de segredos | Plano de controle | Serviços gerenciados |
Databricks SQL consultas e histórico de consultas | Plano de controle | Serviços gerenciados |
sem servidor compute plane | Serviços gerenciados | |
Os volumes EBS remotos para nós de cluster do Databricks Runtime e outros recursos de computação. | Espaço de trabalho tradicional: o clássico plano “ compute ” em seu AWS account | Espaço de trabalho tradicional: armazenamento no espaço de trabalho |
Espaço de trabalho tradicional : DBFS root no seu armazenamento workspace no seu AWS account. Isso também inclui a área FileStore. | Espaço de trabalho tradicional: armazenamento no espaço de trabalho | |
Job resultados | Espaço de trabalho tradicional: bucket de armazenamento do espaço de trabalho em seu AWS account | Espaço de trabalho tradicional: armazenamento no espaço de trabalho |
Databricks SQL resultados da consulta | Espaço de trabalho tradicional: bucket de armazenamento do espaço de trabalho em seu AWS account | Espaço de trabalho tradicional: armazenamento no espaço de trabalho |
Espaço de trabalho tradicional: bucket de armazenamento do espaço de trabalho em seu AWS account | Espaço de trabalho tradicional: armazenamento no espaço de trabalho | |
Espaço de trabalho tradicional: se você utilizar um caminho DBFS em seu DBFS root, ele será armazenado no bucket de armazenamento workspace em seu AWS account. Isso não se aplica a caminhosDBFS que representam pontos de montagem para outras fontes de dados. | Espaço de trabalho tradicional: armazenamento no espaço de trabalho | |
Espaço de trabalho tradicional: Por meio do default, quando você executa um Notebook de forma interativa (em vez de como uma tarefa), os resultados são armazenados no plano de controle para desempenho, com alguns resultados grandes armazenados no seu bucket de armazenamento workspace em AWS account. É possível configurar o Databricks para armazenar todos os resultados interativos do Notebook em AWS account. | Espaço de trabalho tradicional: para resultados parciais no plano de controle, utilize um cliente gerenciado key para serviço gerenciado. Para obter resultados no bucket de armazenamento workspace, que pode ser configurado para todo o armazenamento de resultados, utilize um cliente gerenciar key para armazenamento workspace. |
sem servidor compute e chave para gerenciar o cliente
Databricks SQL suporte sem servidor e serverless compute suporte:
- chave para serviço gerenciado, como consultas de Databricks SQL, histórico de consultas, fonte e metadados do Notebook e índices e metadados de pesquisa vetorial.
- chave de armazenamento da área de trabalho, incluindo armazenamento raiz para resultados de Databricks SQL e Notebook.
A criptografia para volumes EBS remotos não se aplica a serverless compute porque os discos para serverless compute recurso são de curta duração e vinculados ao ciclo de vida da carga de trabalho serverless. Quando um recurso serverless compute é interrompido ou reduzido, as VMs e seu armazenamento são destruídos.
servindo modelo
recurso para servindo modelo, a serverless compute recurso, geralmente estão em duas categorias:
- Os recursos que você cria para o modelo são armazenados no armazenamento raiz do seu workspace. Isso inclui os artefatos do modelo e os metadados da versão. Tanto o registro de modelo workspace quanto o MLflow utilizam este armazenamento. É possível configurar este armazenamento para utilizar a chave gerenciar do cliente.
- Os recursos que o Databricks cria diretamente em seu nome incluem a imagem do modelo e o armazenamento computacional efêmero sem servidor. Eles são criptografados com chaves gerenciadas pelo Databricks e não oferecem suporte a chaves gerenciadas pelo cliente.