安全与信任中心
你的数据安全是我们的首要任务
使用customer-managed键的好处
使用customer-managed键提供了以下好处:
更多的控制你的数据——因为你管理的关键需要解密您的数据,你有整体控制如何以及何时可以使用它。如果您删除或取消访问您房间的钥匙,它是不可能的砖(或其他任何人)解密数据。
更大的保证在发生妥协——就像世界上所有最好的安全团队,我们有最好的希望,做最坏打算。在发生安全妥协,你可以撤销访问您CMK和我们继续访问您的数据。
执行自己的轮换政策——如果使用platform-bob体育客户端下载managed关键(两家公司),平台所有者旋转按自己的合规政策的关键。CMK你可以旋转按自己的合规政策的关键。
监控访问——以及更大的控制权,还有能见度在当你的关键是如何被使用的。您可以使用原生云监控解决方案跟踪CMK、使用和检测任何未经授权试图访问您的数据。
它是如何工作的
砖支持使用cmk由以下供应商:
AWS密钥管理服务(公里)在AWS砖
微软Azure关键库Azure的砖
当你选择利用我们CMK特性、砖使用你的CMK作为钥匙链的一部分加密:
你的代码——笔记本和SQL查询,用户在该平台上开发bob体育客户端下载
你的数据——你的过程和结果的数据查询,用户在平台上运行bob体育客户端下载
你的模型——机器学习模型和相关的工件,你火车或部署平台bob体育客户端下载
您的凭据——用户的凭证存储平台内的秘密bob体育客户端下载
在控制平面数据
数据存储在控制飞机,我们使用了一种叫做envelope-encryption加密数据加密密钥(卡片)用于加密数据。这是一个德高望重的技术,通常在云提供商使用最佳实践(AWS,Azure,GCP)。我们安全地通过信任库生成的aes - 256 DEK java.crypto等。一旦生成卡片,它是用customer-managed密钥加密,存储在云为您的帐户密钥管理服务。然后对加密DEK Databricks-managed键,这是存储在云密钥管理服务为我们的帐户。
砖管理服务需要定期访问您CMK打开卡片,因此解密数据。这样我们就不会压倒云密钥管理服务,并允许对云提供商服务问题,我们缓存超时时间的卡片,之后我们清除缓存。如果您删除或取消访问您房间的钥匙,我们无法访问您的数据。
请参阅我们的文档AWS和Azure逐步说明如何启用customer-managed密钥管理服务。
数据在数据平面
砖,几乎所有数据保持在您的帐户在你的控制之下的。对于上面列出的原因,您可能还想与CMK加密数据,和砖支持这个数据在存储和主机数据平面。
数据平面存储
您可以配置数据砖用CMK加密数据静止在你的帐户。原理是一样的:我们不能解密数据如果你删除或取消访问键;你会保护这些数据是否:
当你为这些存储配置CMK账户,砖使用您的密钥加密的任何未来的读/写操作存储账户。请参阅文档如何配置CMK:
