Chave gerenciadora de clientes para criptografia
Este artigo fornece uma visão geral da chave de gerenciar clientes para criptografia.
Esse recurso requer o plano Premium.
Para configurar a chave gerenciadora de clientes para criptografia, consulte Configurar a chave gerenciadora de clientes para criptografia.
Chave gerenciadora de clientes para visão geral da criptografia
Alguns serviços e dados suportam a adição de um gerenciador de clientes key para ajudar a proteger e controlar o acesso a dados criptografados. O senhor pode usar o serviço de gerenciamento key em sua nuvem para manter uma criptografia gerenciada pelo cliente key.
Databricks tem dois casos de uso para gerenciar o cliente key que envolvem diferentes tipos de dados e locais:
- serviço gerenciado : Dados no plano de controleDatabricks (Notebook, segredos e dados de consulta Databricks SQL ).
- armazenamento do espaço de trabalho : Os dois buckets de armazenamento do workspace e os volumes do GCE Persistent Disk do compute recurso.
Para configurar a chave gerenciadora de clientes para o armazenamento workspace, consulte Configurar a chave gerenciadora de clientes para criptografia.
Customer-gerenciar key for serviço gerenciado
Os dados do serviço gerenciado no Databricks plano de controle do são criptografados em repouso. O senhor pode adicionar um serviço gerenciado pelo cliente key para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Notebook no Databricks plano de controle do.
- Notebook resultados da execução interativa do Notebook (não como Job) que são armazenados no plano de controle. Em default, os resultados maiores também são armazenados em seu bucket raiz workspace. O senhor pode configurar o Databricks para armazenar todos os resultados do Notebook interativo em sua nuvem account.
- Segredos armazenados nos segredos do Databricks.
- AI/BI painéis de controle.
- Databricks SQL consultas e histórico de consultas.
- Acesso pessoal tokens (PAT) ou outras credenciais usadas para configurar a integração Git com as pastas Databricks Git.
- Índices e metadados de pesquisa vetorial.
Para configurar a chave de gerenciar o cliente para o serviço gerenciado, consulte Configurar a chave de gerenciar o cliente para criptografia.
Somente os painéis AI/BI criados após 1º de novembro de 2024 são criptografados e compatíveis com a chave gerenciadora de clientes.
Chave para gerenciar o cliente para workspace storage
O senhor pode adicionar um gerenciador de clientes key para o armazenamento workspace para proteger e controlar o acesso aos seguintes tipos de dados criptografados:
- Seus buckets de armazenamento workspace: Se o senhor adicionar uma criptografia de armazenamento workspace key, Databricks criptografa os dados nos dois buckets GCS associados ao projeto do Google Cloud que Databricks criou quando o senhor criou seu workspace. Eles são conhecidos como workspace storage buckets. Um bucket contém DBFS rootque inclui a área FileStore, MLflow Models e dados DLT em seu DBFS root (não montagens DBFS ). Outro bucket contém dados do sistema workspace, que incluem resultados de trabalhos, resultados de Databricks SQL, revisões de notebooks e outros dados de workspace.
- Os discos persistentes GCE do seu clustering : Sua criptografia de armazenamento workspace key é usada para criptografar os discos persistentes GCE dos nós do clustering Databricks Runtime e outros compute recursos no plano clássico compute.
Comparar os principais casos de uso do gerenciador de clientes
Na tabela abaixo, estão listados os recursos de chave gerenciados pelo cliente usados para tipos específicos de dados.
Tipo de dados | Localização | Qual recurso principal gerenciado pelo cliente usar |
|---|---|---|
AI/BI painéis de controle | Plano de controle | Serviços gerenciados |
Origem e metadados do notebook | Plano de controle | Serviços gerenciados |
Acesso pessoal tokens (PAT) ou outras credenciais usadas para integraçãoGit com pastas Databricks Git | Plano de controle | Serviços gerenciados |
Segredos armazenados pelas APIs do gerenciador de segredos | Plano de controle | Serviços gerenciados |
Databricks SQL consultas e histórico de consultas | Plano de controle | Serviços gerenciados |
Os volumes remotos do GCE Persistent Disk para nós de clustering do Databricks Runtime e outros recursos do compute. | Armazenamento do workspace | |
DBFS root em seu bucket de armazenamento workspace. Isso também inclui a área FileStore. | Armazenamento do workspace | |
Job resultados | em seus buckets de armazenamento do espaço de trabalho no Google Cloud account | Armazenamento do workspace |
Databricks SQL resultados da consulta | em seus buckets de armazenamento do espaço de trabalho no Google Cloud account | Armazenamento do workspace |
em seus buckets de armazenamento do espaço de trabalho no Google Cloud account | Armazenamento do workspace | |
Se o senhor usar um caminho DBFS em seu DBFS root, ele será armazenado nos buckets de armazenamento workspace em seu Google Cloud account. Isso não se aplica aos caminhosDBFS que representam pontos de montagem para outras fontes de dados. | Armazenamento do workspace | |
Por default, quando o senhor executa um Notebook interativamente (e não como um trabalho), os resultados são armazenados no plano de controle para desempenho, com alguns resultados grandes armazenados no seu bucket de armazenamento workspace no Google Cloud account. O senhor pode optar por configurar o Databricks para armazenar todos os resultados do Notebook interativo em seu Google Cloud account. Consulte Configurar o local de armazenamento dos resultados do Notebook interativo. | Para obter resultados parciais no plano de controle, use um customer-gerenciar key para serviço gerenciado. Para os resultados nos dois buckets GCS, que o senhor pode configurar para todo o armazenamento de resultados, use um key gerenciado pelo cliente para o armazenamento workspace. Consulte Configurar o local de armazenamento dos resultados do Notebook interativo. |