Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Für dieses Feature ist der Premium-Plan erforderlich.
Diese Seite bietet eine Übersicht über vom Kunden verwaltete Schlüssel für die Verschlüsselung. Einige Dienste und Daten unterstützen das Hinzufügen eines vom Kunden verwalteten Schlüssels, um den Zugriff auf verschlüsselte Daten zu schützen und zu steuern. Sie können den Schlüsselverwaltungsdienst in Ihrer Cloud verwenden, um einen vom Kunden verwalteten Verschlüsselungsschlüssel zu verwalten.
Azure Databricks unterstützt vom Kunden verwaltete Schlüssel aus Azure Key Vault Vaults und Azure Key Vault Managed HSM (Hardware Security Modules).
Vom Kunden verwaltete Schlüsselanwendungsfälle
Azure Databricks verfügt über drei vom Kunden verwaltete Schlüsselfeatures für verschiedene Datentypen:
- Customer-verwaltete Schlüssel für Azure verwaltete Datenträger
- Kundenseitig verwaltete Schlüssel für verwaltete Dienste
- Kundenseitig verwaltete Schlüssel für den DBFS-Stamm
In der folgenden Tabelle werden die vom Kunden verwalteten Schlüsselfeatures für welche Datentypen verwendet.
| Datentyp | Standort | Die Funktion des kundenseitig verwalteten Schlüssels |
|---|---|---|
| KI/BI-Dashboards | Steuerungsebene | Verwaltete Dienste |
| Genie-Räume | Steuerungsebene | Verwaltete Dienste |
| Notebookquelle und Metadaten | Steuerungsebene | Verwaltete Dienste |
| Persönliche Zugriffstoken (Personal Access Token, PAT) oder andere Anmeldeinformationen werden für die Git-Integration mit Databricks-Git-Ordnern verwendet. | Steuerungsebene | Verwaltete Dienste |
| Von den Secret Manager APIs gespeicherte Geheimnisse | Steuerungsebene | Verwaltete Dienste |
| Databricks SQL Abfragen und Abfrageverlauf | Steuerungsebene | Verwaltete Dienste |
| Vektorsuchindizes und Metadaten | Serverlose Computeebene | Verwaltete Dienste |
| Daten zur Automatischen Skalierung von Lakebase-Projekten | Steuerungsebene | Verwaltete Dienste |
| Kundenzugriff auf DBFS-Stammdaten | Der DBFS-Stamm Ihres Arbeitsbereichs in dem Speicherkonto des Arbeitsbereichs in Ihrem Azure-Abonnement. Dies schließt auch den FileStore-Bereich ein. | DBFS-Stamm |
| Job-Ergebnisse | Arbeitsbereichspeicherkonto in Ihrem Azure-Abonnement | DBFS-Stamm |
| Databricks SQL Ergebnisse | Arbeitsbereichspeicherkonto in Ihrem Azure-Abonnement | DBFS-Stamm |
| MLflow-Modelle | Arbeitsbereichspeicherkonto in Ihrem Azure-Abonnement | DBFS-Stamm |
| Lakeflow Spark Deklarative Datenpipelines | Wenn Sie einen DBFS-Pfad im DBFS-Stammverzeichnis verwenden, wird dies in Ihrem Arbeitsbereichsspeicherkonto in Ihrem Azure-Abonnement gespeichert. Dies gilt nicht für DBFS-Pfade, die Bereitstellungspunkte für andere Datenquellen darstellen. | DBFS-Stamm |
| Interaktive Notebookergebnisse | Wenn Sie ein Notizbuch interaktiv (und nicht als Auftrag) ausführen, werden die Ergebnisse standardmäßig in der Steuerebene gespeichert, um die Leistung zu optimieren. Einige große Ergebnisse werden in Ihrem Arbeitsbereichspeicherkonto in Ihrem Azure-Abonnement gespeichert. Sie können Azure Databricks so konfigurieren, dass alle interaktiven Notizbuchergebnisse in Ihrem Arbeitsbereichspeicherkonto gespeichert werden. Siehe Konfigurieren des Speicherorts für interaktive Notebookergebnisse. | Verwenden Sie für Teilergebnisse in der Kontrollebene einen vom Kunden verwalteten Schlüssel für verwaltete Dienste. Verwenden Sie für Ergebnisse im Speicherkonto Ihres Arbeitsbereichs, das Sie für den gesamten Ergebnisspeicher konfigurieren können, einen kundenseitig verwalteten Schlüssel für den DBFS-Stamm. |
| Andere Systemdaten des Arbeitsbereichs im Speicherkonto des Arbeitsbereichs, auf die über DBFS nicht zugegriffen werden kann, wie beispielsweise Notebookrevisionen. | Arbeitsbereichspeicherkonto in Ihrem Azure-Abonnement | DBFS-Stamm |
| Verwaltete Datenträger | Temporärer Datenträgerspeicher von VMs in Computeressourcen wie Clustern. Gilt nur für Die Berechnung von Ressourcen in der klassischen Computeebene in Ihrem Azure-Abonnement. Weitere Informationen finden Sie unter Serverloses Computing und kundenseitig verwaltete Schlüssel. | Verwaltete Datenträger |
| Model-Serving-Container-Images und Modellartefakte | Steuerungsebene | Verwaltete Dienste |
Für zusätzliche Sicherheit für Ihre Arbeitsbereichsspeicherkontoinstanz in Ihrem Azure-Abonnement können Sie die Unterstützung für doppelte Verschlüsselung und Firewall aktivieren. Weitere Informationen finden Sie unter Konfigurieren der doppelten Verschlüsselung für den DBFS-Stamm und Aktivieren der Firewallunterstützung für das Speicherkonto Ihres Arbeitsbereichs.
Wichtig
Nur AI/BI-Dashboards, die nach dem 1. November 2024 erstellt wurden, sind verschlüsselt und kompatibel mit vom Kunden verwalteten Schlüsseln.
Nur Genie Spaces, die nach dem 10. April 2025 erstellt wurden, sind verschlüsselt und mit Kundenschlüsseln kompatibel.
Serverloses Computing und kundenseitig verwaltete Schlüssel
Databricks SQL Serverless unterstützt Folgendes:
Kundenseitig verwaltete Schlüssel für verwaltete Dienste für Databricks SQL-Abfragen und den Abfrageverlauf.
Kundenseitig verwaltete Schlüssel für den DBFS-Stammspeicher für Databricks SQL-Ergebnisse.
Kundenseitig verwaltete Schlüssel für verwalteten Datenträgerspeicher gelten nicht für Ressourcen für serverloses Computing. Datenträger, die für Ressourcen für serverloses Computing verwendet werden, sind kurzlebig und an den Lebenszyklus der serverlosen Workload gebunden. Wenn Computeressourcen beendet oder herunterskaliert werden, werden die VMs und deren Speicher zerstört.
Modellbereitstellung
Ressourcen für die Modellbereitstellung, ein Feature für serverloses Computing, fallen in der Regel in zwei Kategorien:
- Ressourcen, die Sie erstellen: Modellartefakte und Versionsmetadaten werden im Stammspeicher Ihres Arbeitsbereichs gespeichert. Sowohl Model Serving als auch MLflow verwenden diesen Speicher. Sie können die vom Kunden verwaltete Schlüsselverschlüsselung für diese Daten konfigurieren.
- Von Azure Databricks erstellte Ressourcen: Containerimages und Modellartefakte werden in der von Databricks verwalteten Registrierung gespeichert. Vom Kunden verwaltete Schlüssel für verwaltete Dienste verschlüsseln diese Daten.