Chave gerenciadora de clientes para criptografia
Este artigo fornece uma visão geral da chave de gerenciar clientes para criptografia.
Esse recurso requer o nível Enterprise preços.
Para configurar a chave gerenciadora de clientes para criptografia, consulte Configurar a chave gerenciadora de clientes para criptografia.
Chave gerenciadora de clientes para visão geral da criptografia
Alguns serviços e dados suportam a adição de um gerenciador de clientes key para ajudar a proteger e controlar o acesso a dados criptografados. O senhor pode usar o serviço de gerenciamento key em sua nuvem para manter uma criptografia gerenciada pelo cliente key.
Databricks tem dois casos de uso para gerenciar o cliente key que envolvem diferentes tipos de dados e locais:
- serviço gerenciado : Dados no plano de controleDatabricks (Notebook, segredos e dados de consulta Databricks SQL ).
- armazenamento do espaço de trabalho : Seu bucket de armazenamento workspace (que contém DBFS root) e os volumes EBS de compute recurso no plano clássico compute.
O Unity Catalog também oferece suporte à capacidade de ler e gravar em buckets do S3 com a criptografia KMS ativada. Consulte Criar uma credencial de armazenamento para se conectar ao AWS S3
Para configurar a chave gerenciadora de clientes para o armazenamento workspace, consulte Configurar a chave gerenciadora de clientes para criptografia.
Customer-gerenciar key for serviço gerenciado
Os dados do serviço gerenciado no Databricks plano de controle do são criptografados em repouso. O senhor pode adicionar um serviço gerenciado pelo cliente key para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Notebook no Databricks plano de controle do.
- Notebook resultados da execução interativa do Notebook (não como Job) que são armazenados no plano de controle. Em default, os resultados maiores também são armazenados em seu bucket raiz workspace. O senhor pode configurar o Databricks para armazenar todos os resultados do Notebook interativo em sua nuvem account.
- Segredos armazenados nos segredos do Databricks.
- AI/BI painéis de controle.
- Databricks SQL consultas e histórico de consultas.
- Acesso pessoal tokens (PAT) ou outras credenciais usadas para configurar a integração Git com as pastas Databricks Git.
- Índices e metadados de pesquisa vetorial.
Para configurar a chave de gerenciar o cliente para o serviço gerenciado, consulte Configurar a chave de gerenciar o cliente para criptografia.
Somente os painéis AI/BI criados após 1º de novembro de 2024 são criptografados e compatíveis com a chave gerenciadora de clientes.
Chave para gerenciar o cliente para workspace storage
O senhor pode adicionar um gerenciador de clientes key para o armazenamento workspace para proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Seu bucket de armazenamento workspace: Se o senhor adicionar uma criptografia de armazenamento workspace key, o Databricks criptografará os dados no bucket Amazon S3 em seu AWS account que o senhor especificou ao configurar seu workspace, conhecido como bucket de armazenamento workspace. Esse bucket contém DBFS rootque inclui a área FileStore, MLflow Models e dados DLT em seu DBFS root (não montagens DBFS ). O bucket também inclui dados do sistema workspace, que incluem resultados de trabalhos, resultados de Databricks SQL, revisões de notebooks e outros dados de workspace. Para obter mais informações, consulte Criar um bucket S3 para a implantação do workspace.
- Os volumes EBS do seu clustering (opcional) : Para nós de clustering Databricks Runtime e outros recursos compute no plano clássico compute, o senhor pode, opcionalmente, usar o key para criptografar os volumes EBS remotos da VM.
Esse recurso afeta o seu DBFS root mas não é usado para criptografar dados em quaisquer montagens DBFS adicionais. Para montagens S3 DBFS , o senhor pode usar outras abordagens para gravar dados criptografados com a sua chave. Para obter mais informações, consulte Criptografar dados em S3 buckets. As montagens são um padrão de acesso legado. A Databricks recomenda o uso do Unity Catalog para gerenciar todo o acesso aos dados. Consulte Conectar-se ao serviço e armazenamento de objetos na nuvem usando Unity Catalog.
Comparar os principais casos de uso do gerenciador de clientes
Na tabela abaixo, estão listados os recursos de chave gerenciados pelo cliente usados para tipos específicos de dados.
Tipo de dados | Localização | Qual recurso principal gerenciado pelo cliente usar |
|---|---|---|
AI/BI painéis de controle | Plano de controle | Serviços gerenciados |
Origem e metadados do notebook | Plano de controle | Serviços gerenciados |
Acesso pessoal tokens (PAT) ou outras credenciais usadas para integraçãoGit com pastas Databricks Git | Plano de controle | Serviços gerenciados |
Segredos armazenados pelas APIs do gerenciador de segredos | Plano de controle | Serviços gerenciados |
Databricks SQL consultas e histórico de consultas | Plano de controle | Serviços gerenciados |
sem servidor compute plane | Serviços gerenciados | |
Os volumes EBS remotos para nós de cluster do Databricks Runtime e outros recursos de computação. | O clássico avião compute em seu AWS account . A chave de gerenciamento do cliente para volumes EBS remotos se aplica somente a compute recurso no plano clássico compute em seu AWS account. Consulte compute sem servidor e chave de gerenciamento de clientes. | Armazenamento do workspace |
DBFS root em seu balde de armazenamento workspace em seu AWS account. Isso também inclui a área FileStore. | Armazenamento do workspace | |
Job resultados | balde de armazenamento do espaço de trabalho em seu AWS account | Armazenamento do workspace |
Databricks SQL resultados da consulta | balde de armazenamento do espaço de trabalho em seu AWS account | Armazenamento do workspace |
balde de armazenamento do espaço de trabalho em seu AWS account | Armazenamento do workspace | |
Se o senhor usar um caminho DBFS em seu DBFS root, ele será armazenado no bucket de armazenamento workspace em seu AWS account. Isso não se aplica aos caminhosDBFS que representam pontos de montagem para outras fontes de dados. | Armazenamento do workspace | |
Por default, quando o senhor executa um Notebook interativamente (e não como um trabalho), os resultados são armazenados no plano de controle para desempenho, com alguns resultados grandes armazenados no seu bucket de armazenamento workspace no seu AWS account. O senhor pode optar por configurar o site Databricks para armazenar todos os resultados do Notebook interativo no site AWS account . | Para obter resultados parciais no plano de controle, use um customer-gerenciar key para serviço gerenciado. Para os resultados no bucket de armazenamento workspace, que o senhor pode configurar para todo o armazenamento de resultados, use um gerenciador de clientes key para o armazenamento workspace. |
sem servidor compute e chave para gerenciar o cliente
Databricks SQL sem servidor suporta:
- Customer-gerenciar key for serviço gerenciado for Databricks SQL queries and query história.
- O senhor pode gerenciar a chave para seu bucket de armazenamento workspace, incluindo o armazenamento DBFS root para resultados Databricks SQL.
O armazém sem servidor SQL não usa a chave gerenciadora de clientes para criptografia de armazenamento EBS nos nós compute, que é uma parte opcional da configuração da chave gerenciadora de clientes para o armazenamento workspace. Os discos para serverless compute recurso são de curta duração e estão vinculados ao ciclo de vida da carga de trabalho serverless. Quando o recurso compute é interrompido ou reduzido, as VMs e seu armazenamento são destruídos.
servindo modelo
recurso para servindo modelo, a serverless compute recurso, geralmente estão em duas categorias:
- Os recursos que você cria para o modelo são armazenados na raiz DBFS do seu workspace no bucket S3 do seu workspace. Isso inclui os artefatos do modelo e os metadados da versão. Tanto o registo do modelo de workspace como o MLflow utilizam este armazenamento. Você pode configurar esse armazenamento para usar chaves gerenciadas pelo cliente.
- Os recursos que o Databricks cria diretamente em seu nome incluem a imagem do modelo e o armazenamento computacional efêmero sem servidor. Eles são criptografados com chaves gerenciadas pelo Databricks e não oferecem suporte a chaves gerenciadas pelo cliente.
A chave para gerenciar o cliente para o armazenamento EBS, que é uma parte opcional do recurso de armazenamento workspace, não se aplica ao recurso serverless compute . Os discos para serverless compute recurso são de curta duração e estão vinculados ao ciclo de vida da carga de trabalho serverless. Quando o recurso compute é interrompido ou reduzido, as VMs e seu armazenamento são destruídos.