Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
Esta característica requiere el plan Premium.
En esta página se proporciona información general sobre las claves administradas por el cliente para el cifrado. Algunos servicios y soporte de datos permiten agregar una clave administrada por el cliente para ayudar a proteger y controlar el acceso a los datos cifrados. Puede usar el servicio de administración de claves en la nube para mantener una clave de cifrado administrada por el cliente.
Azure Databricks admite claves administradas por el cliente desde almacenes de Azure Key Vault y HSM administrados por Azure Key Vault (módulos de seguridad de hardware).
Casos de uso de claves administradas por el cliente
Azure Databricks tiene tres características clave administradas por el cliente para diferentes tipos de datos:
- claves administradas por el cliente para discos administrados de Azure
- Claves administradas por el cliente para servicios administrados
- Claves administradas por el cliente para la raíz de DBFS
En la tabla siguiente se enumeran las características clave administradas por el cliente que se usan según el tipo de datos.
| Tipo de datos | Ubicación | Característica de clave administrada por el cliente |
|---|---|---|
| Paneles de IA o BI | Plano de control | Servicios administrados |
| Espacios de Genie | Plano de control | Servicios administrados |
| Origen y metadatos del Notebook | Plano de control | Servicios administrados |
| Tokens de acceso personal (PAT) u otras credenciales que se usan para integración de Git con carpetas de Git de Databricks | Plano de control | Servicios administrados |
| Secretos almacenados por las API del administrador de secretos | Plano de control | Servicios administrados |
| Consultas e historial de consultas de Databricks SQL | Plano de control | Servicios administrados |
| Índices de Vector Search y metadatos | Plano de proceso sin servidor | Servicios administrados |
| Datos del proyecto de escalado automático de Lakebase | Plano de control | Servicios administrados |
| Datos raíz de DBFS accesibles para el cliente | La raíz DBFS del área de trabajo en la cuenta de almacenamiento del área de trabajo de la suscripción de Azure. Esto también incluye el área FileStore. | Raíz de DBFS |
| Resultados del trabajo | Cuenta de almacenamiento de workspace en tu suscripción de Azure | Raíz de DBFS |
| Resultados de Databricks SQL | Cuenta de almacenamiento del espacio de trabajo en tu suscripción de Azure | Raíz de DBFS |
| Modelos de MLflow | Cuenta de almacenamiento de área de trabajo en tu suscripción de Azure | Raíz de DBFS |
| Canalizaciones declarativas de Lakeflow Spark | Si utiliza una ruta de acceso DBFS en la raíz de su espacio de trabajo en DBFS, se almacenará en la cuenta de almacenamiento de su área de trabajo dentro de su suscripción de Azure. Esto no se aplica a las rutas de acceso de DBFS que representan puntos de montaje a otros orígenes de datos. | Raíz de DBFS |
| Resultados de cuadernos interactivos | De forma predeterminada, cuando se ejecuta un cuaderno de forma interactiva (en lugar de como trabajo), los resultados se almacenan en el plano de control para el rendimiento con algunos resultados grandes almacenados en la cuenta de almacenamiento del área de trabajo en la suscripción de Azure. Puede optar por configurar Azure Databricks para almacenar todos los resultados interactivos del cuaderno en la cuenta de almacenamiento del área de trabajo. Consulte Configuración de la ubicación de almacenamiento para los resultados interactivos del cuaderno. | Para obtener resultados parciales en el plano de control, use una clave administrada por el cliente para los servicios administrados. Para obtener resultados en la cuenta de almacenamiento del área de trabajo, que puede configurar para el almacenamiento de todos los resultados, use una clave administrada por el cliente para raíz de DBFS. |
| Otros datos del sistema en la cuenta de almacenamiento del área de trabajo que son inaccesibles a través de DBFS, como las revisiones de la libreta. | Cuenta de almacenamiento del área de trabajo en tu suscripción de Azure | Raíz de DBFS |
| Discos administrados | Almacenamiento temporal en disco de máquinas virtuales en recursos de proceso, como clústeres. Solo se aplica a los recursos de proceso en el plano de proceso clásico de la suscripción de Azure. Consulte Computación sin servidor y claves administradas por el cliente. | Discos administrados |
| Model Serving container images and model artifacts (Modelado de imágenes de contenedor y artefactos de modelo) | Plano de control | Servicios administrados |
Para una seguridad adicional en la instancia de cuenta de almacenamiento de su espacio de trabajo en su suscripción de Azure, puede habilitar la doble encriptación y el soporte de firewall. Consulte Configurar el cifrado doble para la raíz DBFS y Habilitar el soporte de firewall para su cuenta de almacenamiento del área de trabajo.
Importante
Solo los paneles de INTELIGENCIA ARTIFICIAL y BI creados después del 1 de noviembre de 2024 se cifran y son compatibles con las claves administradas por el cliente.
Solo los espacios de Genie creados después del 10 de abril de 2025 se cifran y son compatibles con las claves administradas por el cliente.
Cómputo sin servidor y claves administradas por el cliente
Databricks SQL sin servidor admite:
Claves administradas por el cliente para servicios administrados para consultas SQL de Databricks e historial de consultas.
Claves administradas por el cliente para el almacenamiento de raíz DBFS para los resultados de Databricks SQL.
Claves administradas por el cliente para el almacenamiento en disco administrado no se aplican a los recursos de proceso sin servidor. Los discos para los recursos de procesos sin servidor duran poco y están vinculados al ciclo de vida de la carga de trabajo sin servidor. Cuando los recursos de cálculo se detienen o se reducen, se destruyen las máquinas virtuales y su almacenamiento.
Servicio de modelos
Los recursos para Servicio de modelos, una característica de proceso sin servidor, generalmente se encuentran en dos categorías:
- Recursos que cree: los artefactos del modelo y los metadatos de versión se almacenan en el almacenamiento raíz del área de trabajo. Tanto Model Serving como MLflow usan este almacenamiento. Puede configurar el cifrado de claves administradas por el cliente para estos datos.
- Recursos que crea Azure Databricks: Las imágenes de contenedor y los artefactos del modelo se almacenan en el registro administrado de Databricks. Las claves administradas por el cliente para los servicios administrados cifran estos datos.