Chaves gerenciadas pelo cliente para criptografia

Este artigo fornece uma visão geral da chave de gerenciar clientes para criptografia.

Observação

Esse recurso requer o plano Premium.

Para configurar a chave gerenciadora de clientes para criptografia, consulte Configurar a chave gerenciadora de clientes para criptografia.

Chave gerenciadora de clientes para visão geral da criptografia

Alguns serviços e dados suportam a adição de um gerenciador de clientes key para ajudar a proteger e controlar o acesso a dados criptografados. O senhor pode usar o serviço de gerenciamento key em suas nuvens para manter uma criptografia gerenciada pelo cliente key.

A Databricks tem dois casos de uso para gerenciar key clientes que envolvem diferentes tipos de dados e locais:

• serviço gerenciado: Dados no plano de controle do Databricks (Notebook, segredos e dados de consulta do Databricks SQL ).

• workspace armazenamento: Os dois buckets de armazenamento do workspace e os volumes do GCE Persistent Disk do compute recurso.

Para configurar a chave gerenciadora de clientes para o armazenamento workspace, consulte Configurar a chave gerenciadora de clientes para criptografia.

Customer-gerenciar key for serviço gerenciado

Os dados do serviço gerenciado no plano de controle do Databricks são criptografados em repouso. O senhor pode adicionar um serviço gerenciado pelo cliente key para ajudar a proteger e controlar o acesso aos seguintes tipos de dados criptografados:

• Notebook no plano de controle do Databricks.

• Notebook resultados da execução interativa do Notebook (não como Job) que são armazenados no plano de controle. Em default, os resultados maiores também são armazenados em seu bucket raiz workspace. O senhor pode configurar o Databricks para armazenar todos os resultados interativos do Notebook no seu cloud account .

• Segredos armazenados nos segredos do Databricks.

• Databricks SQL consultas e histórico de consultas.

• Personal access tokens (PAT) ou outras credenciais usadas para configurar a integração do Git com as pastas Git da Databricks.

Para configurar a chave de gerenciar o cliente para o serviço gerenciado, consulte Configurar a chave de gerenciar o cliente para criptografia.

Chave gerenciadora de clientes para armazenamento de espaço de trabalho

O senhor pode adicionar um gerenciador de clientes key para o armazenamento workspace para proteger e controlar o acesso aos seguintes tipos de dados criptografados:

• Seus buckets de armazenamento workspace: Se o senhor adicionar uma criptografia de armazenamento workspace key, Databricks criptografa os dados nos dois buckets GCS associados ao projeto Google cloud que Databricks criou quando o senhor criou seu workspace. Eles são conhecidos como workspace storage buckets. Um bucket contém DBFS rootque inclui a área FileStore, MLflow Models e Delta Live Table em seu DBFS root (não em montagens DBFS ). Outro bucket contém dados do sistema workspace, que incluem resultados de Job, resultados de Databricks SQL, revisões de Notebook e outros dados de workspace.

• Os discos persistentes GCE do senhor cluster: Sua criptografia de armazenamento workspace key é usada para criptografar os discos persistentes GCE dos nós Databricks Runtime cluster e outros recursos compute no plano clássico compute .

Comparar os principais casos de uso do gerenciador de clientes

Na tabela abaixo, estão listados os recursos de chave gerenciados pelo cliente usados para tipos específicos de dados.

Tipo de dados	Localização	Qual recurso principal gerenciado pelo cliente usar
Origem e metadados do notebook	plano de controle	Serviços gerenciados
Personal access tokens (PAT) ou outras credenciais usadas para a integração do Git com as pastas Git da Databricks	plano de controle	Serviços gerenciados
Segredos armazenados pelas APIs do gerenciador de segredos	plano de controle	Serviços gerenciados
Consultas SQL e histórico de consultas do Databricks	plano de controle	Serviços gerenciados
Os volumes remotos do disco permanente GCE para nós clusters do Databricks Runtime e outros recursos compute .	O clássico avião compute em seu Google cloud account .	Armazenamento do workspace
Dados raiz do DBFS acessíveis ao cliente	DBFS root em seu bucket de armazenamento workspace. Isso também inclui a área do FileStore.	Armazenamento do workspace
Resultados do trabalho	workspace em seu Google cloud account	Armazenamento do workspace
Resultados da consulta SQL do Databricks	workspace em seu Google cloud account	Armazenamento do workspace
MLflow Models	workspace em seu Google cloud account	Armazenamento do workspace
Delta live table	Se o senhor usar um caminho DBFS em seu DBFS root, ele será armazenado nos buckets de armazenamento workspace em seu Google cloud account. Isso não se aplica aos caminhosDBFS que representam pontos de montagem para outras fontes de dados.	Armazenamento do workspace
Resultados do notebook interativo	Por default, quando o senhor executa um Notebook interativamente (e não como um Job), os resultados são armazenados no plano de controle para desempenho, com alguns resultados grandes armazenados no seu bucket de armazenamento workspace no seu Google cloud account. O senhor pode optar por configurar o Databricks para armazenar todos os resultados interativos do Notebook em seu Google cloud account. Consulte Configurar o local de armazenamento para os resultados do site interativo Notebook .	Para obter resultados parciais no plano de controle, use um customer-gerenciar key para serviço gerenciado. Para os resultados nos dois buckets GCS, que o senhor pode configurar para todo o armazenamento de resultados, use um key gerenciado pelo cliente para o armazenamento workspace. Consulte Configurar o local de armazenamento para os resultados do site interativo Notebook .