Chaves gerenciadas pelo cliente para criptografia

Este artigo fornece uma visão geral da chave de gerenciar clientes para criptografia.

Observação

Esse recurso requer o plano Premium.

Para configurar a chave gerenciadora de clientes para criptografia, consulte Configurar a chave gerenciadora de clientes para criptografia.

Chave gerenciadora de clientes para visão geral da criptografia

Alguns serviços e dados suportam a adição de um gerenciador de clientes key para ajudar a proteger e controlar o acesso a dados criptografados. O senhor pode usar o serviço de gerenciamento key em suas nuvens para manter uma criptografia gerenciada pelo cliente key.

A Databricks tem dois casos de uso para gerenciar key clientes que envolvem diferentes tipos de dados e locais:

  • serviço gerenciado: Dados no plano de controle do Databricks (Notebook, segredos e dados de consulta do Databricks SQL ).

  • workspace armazenamento: Os dois buckets do workspace GCS e os volumes do GCE Persistent Disk do compute recurso.

Para configurar a chave gerenciadora de clientes para o armazenamento workspace, consulte Configurar a chave gerenciadora de clientes para criptografia.

Customer-gerenciar key for serviço gerenciado

Os dados do serviço gerenciado no plano de controle do Databricks são criptografados em repouso. O senhor pode adicionar um serviço gerenciado pelo cliente key para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:

Para configurar a chave de gerenciar o cliente para o serviço gerenciado, consulte Configurar a chave de gerenciar o cliente para criptografia.

Chave gerenciadora de clientes para armazenamento de espaço de trabalho

O senhor pode adicionar um gerenciador de clientes key para o armazenamento workspace para proteger e controlar o acesso aos seguintes tipos de dados criptografados:

  • Seu workspace's dois buckets GCS: Se o senhor adicionar uma criptografia de armazenamento workspace key, a Databricks criptografa os dados nos dois buckets GCS associados ao projeto de nuvens do Google que o senhor especificou quando criou seu workspace. Às vezes, eles são chamados de workspace's root GCS buckets. Um bucket contém seu workspace's DBFS rootque inclui a área do FileStore, os modelos MLflow e os dados da tabela Delta Live em seu site DBFS root (não montagens DBFS). Outro bucket inclui os dados do sistema do seu espaço de trabalho, que incluem resultados de Job, resultados de Databricks SQL, revisões de Notebook e alguns outros dados do espaço de trabalho.

  • Os discos persistentes GCE do senhor cluster: Sua criptografia de armazenamento workspace key é usada para criptografar os discos persistentes GCE dos nós Databricks Runtime cluster e outros recursos compute no plano clássico compute .

Comparar os principais casos de uso do gerenciador de clientes

Na tabela abaixo, estão listados os recursos de chave gerenciados pelo cliente usados para tipos específicos de dados.

Tipo de dados

Localização

Qual recurso principal gerenciado pelo cliente usar

Origem e metadados do notebook

plano de controle

Serviços gerenciados

Personal access tokens (PAT) ou outras credenciais usadas para a integração do Git com as pastas Git da Databricks

plano de controle

Serviços gerenciados

Segredos armazenados pelas APIs do gerenciador de segredos

plano de controle

Serviços gerenciados

Consultas SQL e histórico de consultas do Databricks

plano de controle

Serviços gerenciados

Os volumes remotos do disco permanente GCE para nós clusters do Databricks Runtime e outros recursos compute .

O clássico avião compute em seu Google cloud account .

Armazenamento do workspace

Dados raiz do DBFS acessíveis ao cliente

O senhor workspace's DBFS root em seu workspace's two GCS buckets buckets Google project. Isso também inclui a área do FileStore.

Armazenamento do workspace

Resultados do trabalho

emworkspacesuas nuvens do Google account

Armazenamento do workspace

Resultados da consulta SQL do Databricks

emworkspacesuas nuvens do Google account

Armazenamento do workspace

MLflow Models

emworkspacesuas nuvens do Google account

Armazenamento do workspace

Delta live table

Se o senhor usar um caminho DBFS no seu DBFS root, ele será armazenado nos workspace dois buckets GCS accountdo no seu Google Clouds . Isso não se aplica aos caminhos DBFS que representam pontos de montagem para outras fontes de dados.

Armazenamento do workspace

Resultados do notebook interativo

Por default, quando você executa um Notebook de forma interativa (em vez de como um Job), os resultados são armazenados no plano de controle para desempenho, com alguns resultados grandes armazenados nos workspace dois buckets GCS do seu na sua do Google clouds account. Você pode optar por configurar o Databricks para armazenar todos os Notebook resultados interativos em sua do Google clouds account.

Para obter resultados parciais no plano de controle, use um customer-gerenciar key para serviço gerenciado. Para os resultados nos dois buckets do GCS, que o senhor pode configurar para o armazenamento de todos os resultados, use um key gerenciado pelo cliente para o armazenamento do espaço de trabalho.