Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page décrit le profil de sécurité de conformité, ses contrôles de conformité et les fonctionnalités prises en charge. Pour activer le profil de sécurité de conformité, consultez Configurer les paramètres de sécurité et de conformité améliorés.
Vue d’ensemble du profil de sécurité de conformité
Le profil de sécurité de conformité permet une surveillance supplémentaire, une image de calcul renforcée et d’autres fonctionnalités et contrôles sur Azure Databricks espaces de travail. Le profil de sécurité de conformité comprend des contrôles qui permettent de répondre aux exigences de sécurité applicables de certaines normes de conformité.
Le profil de sécurité de conformité est requis pour utiliser Azure Databricks pour traiter les données réglementées sous :
- C5
- Coréen Financial Security Institute (K-FSI)
- PCI-DSS
- UK Cyber Essentials Plus
- CCCS Moyen (Protected B)
- TISAX
- ISMAP
Important
Le profil de sécurité de conformité sera requis pour traiter les données protégées sous HIPAA, HITRUST et IRAP à partir du 1er septembre 2026.
Vous pouvez également choisir d’activer le profil de sécurité de conformité pour ses fonctionnalités de sécurité améliorées sans se conformer à une norme de conformité.
Important
- Vous êtes seul responsable de votre propre conformité à la réglementation applicable.
- Pour les conformités autres que HIPAA, vous êtes uniquement responsable de la garantie que le profil de sécurité de conformité et les normes de conformité appropriées sont configurés avant de traiter les données réglementées. Pour le traitement des données PHI, Azure Databricks recommande vivement d’activer le profil de sécurité de conformité et de sélectionner la norme de conformité HIPAA.
- Vous êtes uniquement responsable de la vérification que les informations sensibles ne sont jamais entrées dans les champs d’entrée définis par le client, tels que les noms d’espace de travail, les noms de ressources de calcul, les balises, les noms de travaux, les noms d’exécution de travaux, les noms de réseau, les noms d’informations d’identification, les noms de compte de stockage et les ID de référentiel Git ou les URL. Ces champs peuvent être stockés, traités ou accessibles en dehors de la limite de conformité.
Si vous activez cette fonctionnalité sur un espace de travail, vous êtes facturé pour le module complémentaire Sécurité et conformité renforcées, comme décrit dans la page de tarification.
Note
Genie One au niveau du compte n’agrège pas les données provenant des espaces de travail pour lesquels le profil de sécurité de conformité est activé. Voir Utiliser Genie One.
Améliorations apportées à la sécurité du profil de sécurité de conformité
Les améliorations de la sécurité incluent les éléments suivants :
Image renforcée CIS Niveau 1.
Mises à jour automatiques du cluster, ce qui garantit que les clusters disposent des dernières mises à jour en les redémarrant régulièrement pendant les fenêtres de maintenance configurables. Consultez Mise à jour automatique de clusters.
Surveillance améliorée de la sécurité, qui inclut des agents de surveillance qui génèrent des journaux d’activité révisables. Consultez Monitoring des agents dans les images du plan de calcul Azure Databricks.
Les communications au sein du cluster et pour sortie utilisent TLS 1.2 ou version ultérieure, y compris la communication avec le metastore.
Prise en charge du calcul classique et serverless par région
Le profil de sécurité de conformité détermine les normes de conformité appliquées aux ressources de calcul dans les plans de calcul classiques et serverless.
Les ressources de calcul classiques prennent en charge un large éventail de normes de conformité entre les régions. Les ressources de calcul serverless (entrepôts SQL serverless, calcul serverless pour les notebooks et les travaux Lakeflow, pipelines déclaratifs Lakeflow Spark serverless) bénéficient d’une prise en charge plus limitée selon la norme de conformité et la région.
Le tableau suivant répertorie les normes de conformité prises en charge par chaque plan de calcul et les régions prises en charge correspondantes :
| Norme de conformité | Prise en charge du plan de calcul classique | Prise en charge du plan de calcul serverless |
|---|---|---|
| C5 | Toutes les régions | Toutes les régions avec serverless |
| CCCS Moyen (niveau de protection B) |
canadacentral, canadaeast |
canadacentral, canadaeast |
| HIPAA | Toutes les régions | Toutes les régions avec serverless |
| HITRUST | Toutes les régions |
australiaeast, australiasoutheast, canadacentraleastus, eastus2, germanywestcentral, northeurope, uksouth |
| IRAP |
australiacentral, australiacentral2, australiaeast, australiasoutheast |
australiaeast, australiasoutheast |
| ISMAP | Toutes les régions sauf australiacentral2, , eastasiamexicocentral, southeastasia,switzerlandwest |
australiaeast, australiasoutheast, canadacentraleastus, eastus2, germanywestcentral, northeurope, uksouth |
| K-FSI | koreacentral |
None |
| PCI-DSS | Toutes les régions |
australiaeast, australiasoutheast, canadacentraleastus, eastus2, germanywestcentral, northeurope, uksouth |
| TISAX | Toutes les régions | Toutes les régions avec serverless |
| Cyber Essentials plus Royaume-Uni |
ukwest, uksouth |
uksouth |
Note
Le calcul sans serveur pour les charges de travail IRAP et Canada Protected B nécessite un environnement de base incluant la version 5 ou supérieure de l'environnement. Si vous ne sélectionnez pas d’environnement de base compatible, le calcul serverless ne démarre pas lorsque ces profils de sécurité de conformité sont activés. Pour sélectionner un environnement de base, consultez Sélectionner un environnement de base.
Pour plus d’informations sur l’architecture du plan de calcul, consultez architecture générale.
Fonctionnalités en préversion prises en charge
Seules les fonctionnalités de préversion publique, de préversion privée et bêta répertoriées dans cette section sont prises en charge pour les espaces de travail avec le profil de sécurité de conformité activé. Le profil de sécurité de conformité ne prend pas en charge d’autres fonctionnalités de préversion publique, de préversion privée ou bêta.
Le tableau suivant répertorie toutes les fonctionnalités de préversion publique, d’aperçu privé et bêta prises en charge :
- La plupart des fonctionnalités sont disponibles pour toutes les normes de conformité avec le profil de sécurité de conformité activé.
- Les fonctionnalités marquées avec une norme de conformité spécifique (comme « HIPAA uniquement ») sont prises en charge uniquement pour les espaces de travail configurés avec cette norme de conformité.
- Les fonctionnalités marquées « Serverless » ne sont disponibles que sur le plan de calcul serverless. Consultez le soutien informatique classique et serverless par région.
Note
Databricks Apps est généralement disponible. Toutefois, pour utiliser Databricks Apps avec le profil de sécurité de conformité, un administrateur d’espace de travail doit l’activer dans la page Aperçus. Consultez Databricks Apps et Gestion des préversions au niveau de l’espace de travail.
| Caractéristique | Statut | Compute | Remarques |
|---|---|---|---|
| Agents personnalisés : autorisation au nom de l’utilisateur | Public Preview | Standard et serverless | HIPAA uniquement |
| Mode Agent dans Genie Spaces | Public Preview | Standard et serverless | |
| ai_forecast() | Public Preview | Standard et serverless | HIPAA uniquement |
| Détection des anomalies | Public Preview | Serverless uniquement | |
| Support Auto Loader pour les événements de fichiers | Public Preview | Standard et serverless | |
| Généalogie externe | Public Preview | Standard et serverless | |
| Calculer la livraison des journaux vers les volumes | Public Preview | Standard et serverless | |
| Classifieurs personnalisés | Bêta | Serverless uniquement | |
| Tableaux de bord dans le dossier Git | Public Preview | Standard et serverless | |
| Hub de gouvernance des données | Préversion privée | Standard et serverless | |
| Complément Azure Databricks pour Excel | Public Preview | Standard et serverless | |
| Serveurs MCP gérés par Databricks | Public Preview | Serverless uniquement | |
| Alertes Databricks SQL | Public Preview | Standard et serverless | |
| Incorporer l’espace Génie en tant qu’iframe | Bêta | Standard et serverless | |
| Accès exclusif | Préversion privée | Standard et serverless | |
| Serveurs MCP externes | Public Preview | Serverless uniquement | |
| Application Genie pour Slack | Public Preview | Standard et serverless | |
| Application Genie dans Microsoft Teams | Bêta | Standard et serverless | |
| Connecteur Google Drive (standard) | Bêta | Standard et serverless | |
| Étiquettes gouvernées | Public Preview | Standard et serverless | |
| Mémoire élevée pour les tâches de calcul serverless | Public Preview | Serverless uniquement | |
| Lakeflow Connect SQL Server | Public Preview | Standard et serverless | |
| Inférence par lots LLM avec ai_query | Public Preview | Standard et serverless | HIPAA uniquement |
| Lire des fichiers Excel | Bêta | Standard et serverless | |
| Chemins d’accès secrets dans les variables d’environnement | Public Preview | Standard et serverless | |
| Prévision sans serveur | Public Preview | Serverless uniquement | |
| Kit de développement logiciel (SDK) Python pour prévisions serverless | Préversion privée | Serverless uniquement | |
| Espaces de travail sans serveur | Public Preview | Serverless uniquement | |
| Service Direct PrivateLink | Public Preview | Standard et serverless | |
| connecteur SharePoint (géré) | Bêta | Standard et serverless | |
| connecteur SharePoint (standard) | Bêta | Standard et serverless | |
| Les tables système en préversion publique | Public Preview | Standard et serverless | |
| Demandes d’accès au catalogue Unity | Public Preview | Standard et serverless | |
| Contrôle d’accès basé sur les attributs du catalogue Unity (ABAC) | Public Preview | Standard et serverless | |
| Autorisation utilisateur pour Databricks Apps | Public Preview | Standard et serverless | |
| Fonctions définies par l’utilisateur dans le catalogue Unity | Public Preview | Standard et serverless | |
| Approvisionnement SCIM au niveau de l’espace de travail | Public Preview | Standard et serverless | Fonctionnalité héritée. Consultez Approvisionnement SCIM au niveau du compte et de l’espace de travail. |