Profil de sécurité de conformité

Cette page décrit le profil de sécurité de conformité, ses contrôles de conformité et les fonctionnalités prises en charge. Pour activer le profil de sécurité de conformité, consultez Configurer les paramètres de sécurité et de conformité améliorés.

Vue d’ensemble du profil de sécurité de conformité

Le profil de sécurité de conformité permet une surveillance supplémentaire, une image de calcul renforcée et d’autres fonctionnalités et contrôles sur Azure Databricks espaces de travail. Le profil de sécurité de conformité comprend des contrôles qui permettent de répondre aux exigences de sécurité applicables de certaines normes de conformité.

Le profil de sécurité de conformité est requis pour utiliser Azure Databricks pour traiter les données réglementées sous :

Important

Le profil de sécurité de conformité sera requis pour traiter les données protégées sous HIPAA, HITRUST et IRAP à partir du 1er septembre 2026.

Vous pouvez également choisir d’activer le profil de sécurité de conformité pour ses fonctionnalités de sécurité améliorées sans se conformer à une norme de conformité.

Important

  • Vous êtes seul responsable de votre propre conformité à la réglementation applicable.
  • Pour les conformités autres que HIPAA, vous êtes uniquement responsable de la garantie que le profil de sécurité de conformité et les normes de conformité appropriées sont configurés avant de traiter les données réglementées. Pour le traitement des données PHI, Azure Databricks recommande vivement d’activer le profil de sécurité de conformité et de sélectionner la norme de conformité HIPAA.
  • Vous êtes uniquement responsable de la vérification que les informations sensibles ne sont jamais entrées dans les champs d’entrée définis par le client, tels que les noms d’espace de travail, les noms de ressources de calcul, les balises, les noms de travaux, les noms d’exécution de travaux, les noms de réseau, les noms d’informations d’identification, les noms de compte de stockage et les ID de référentiel Git ou les URL. Ces champs peuvent être stockés, traités ou accessibles en dehors de la limite de conformité.

Si vous activez cette fonctionnalité sur un espace de travail, vous êtes facturé pour le module complémentaire Sécurité et conformité renforcées, comme décrit dans la page de tarification.

Note

Genie One au niveau du compte n’agrège pas les données provenant des espaces de travail pour lesquels le profil de sécurité de conformité est activé. Voir Utiliser Genie One.

Améliorations apportées à la sécurité du profil de sécurité de conformité

Les améliorations de la sécurité incluent les éléments suivants :

  • Image renforcée CIS Niveau 1.

  • Mises à jour automatiques du cluster, ce qui garantit que les clusters disposent des dernières mises à jour en les redémarrant régulièrement pendant les fenêtres de maintenance configurables. Consultez Mise à jour automatique de clusters.

  • Surveillance améliorée de la sécurité, qui inclut des agents de surveillance qui génèrent des journaux d’activité révisables. Consultez Monitoring des agents dans les images du plan de calcul Azure Databricks.

  • Les communications au sein du cluster et pour sortie utilisent TLS 1.2 ou version ultérieure, y compris la communication avec le metastore.

Prise en charge du calcul classique et serverless par région

Le profil de sécurité de conformité détermine les normes de conformité appliquées aux ressources de calcul dans les plans de calcul classiques et serverless.

Les ressources de calcul classiques prennent en charge un large éventail de normes de conformité entre les régions. Les ressources de calcul serverless (entrepôts SQL serverless, calcul serverless pour les notebooks et les travaux Lakeflow, pipelines déclaratifs Lakeflow Spark serverless) bénéficient d’une prise en charge plus limitée selon la norme de conformité et la région.

Le tableau suivant répertorie les normes de conformité prises en charge par chaque plan de calcul et les régions prises en charge correspondantes :

Norme de conformité Prise en charge du plan de calcul classique Prise en charge du plan de calcul serverless
C5 Toutes les régions Toutes les régions avec serverless
CCCS Moyen (niveau de protection B) canadacentral, canadaeast canadacentral, canadaeast
HIPAA Toutes les régions Toutes les régions avec serverless
HITRUST Toutes les régions australiaeast, australiasoutheast, canadacentraleastus, eastus2, germanywestcentral, northeurope, uksouth
IRAP australiacentral, australiacentral2, australiaeast, australiasoutheast australiaeast, australiasoutheast
ISMAP Toutes les régions sauf australiacentral2, , eastasiamexicocentral, southeastasia,switzerlandwest australiaeast, australiasoutheast, canadacentraleastus, eastus2, germanywestcentral, northeurope, uksouth
K-FSI koreacentral None
PCI-DSS Toutes les régions australiaeast, australiasoutheast, canadacentraleastus, eastus2, germanywestcentral, northeurope, uksouth
TISAX Toutes les régions Toutes les régions avec serverless
Cyber Essentials plus Royaume-Uni ukwest, uksouth uksouth

Note

Le calcul sans serveur pour les charges de travail IRAP et Canada Protected B nécessite un environnement de base incluant la version 5 ou supérieure de l'environnement. Si vous ne sélectionnez pas d’environnement de base compatible, le calcul serverless ne démarre pas lorsque ces profils de sécurité de conformité sont activés. Pour sélectionner un environnement de base, consultez Sélectionner un environnement de base.

Pour plus d’informations sur l’architecture du plan de calcul, consultez architecture générale.

Fonctionnalités en préversion prises en charge

Seules les fonctionnalités de préversion publique, de préversion privée et bêta répertoriées dans cette section sont prises en charge pour les espaces de travail avec le profil de sécurité de conformité activé. Le profil de sécurité de conformité ne prend pas en charge d’autres fonctionnalités de préversion publique, de préversion privée ou bêta.

Le tableau suivant répertorie toutes les fonctionnalités de préversion publique, d’aperçu privé et bêta prises en charge :

  • La plupart des fonctionnalités sont disponibles pour toutes les normes de conformité avec le profil de sécurité de conformité activé.
  • Les fonctionnalités marquées avec une norme de conformité spécifique (comme « HIPAA uniquement ») sont prises en charge uniquement pour les espaces de travail configurés avec cette norme de conformité.
  • Les fonctionnalités marquées « Serverless » ne sont disponibles que sur le plan de calcul serverless. Consultez le soutien informatique classique et serverless par région.

Note

Databricks Apps est généralement disponible. Toutefois, pour utiliser Databricks Apps avec le profil de sécurité de conformité, un administrateur d’espace de travail doit l’activer dans la page Aperçus. Consultez Databricks Apps et Gestion des préversions au niveau de l’espace de travail.

Caractéristique Statut Compute Remarques
Agents personnalisés : autorisation au nom de l’utilisateur Public Preview Standard et serverless HIPAA uniquement
Mode Agent dans Genie Spaces Public Preview Standard et serverless
ai_forecast() Public Preview Standard et serverless HIPAA uniquement
Détection des anomalies Public Preview Serverless uniquement
Support Auto Loader pour les événements de fichiers Public Preview Standard et serverless
Généalogie externe Public Preview Standard et serverless
Calculer la livraison des journaux vers les volumes Public Preview Standard et serverless
Classifieurs personnalisés Bêta Serverless uniquement
Tableaux de bord dans le dossier Git Public Preview Standard et serverless
Hub de gouvernance des données Préversion privée Standard et serverless
Complément Azure Databricks pour Excel Public Preview Standard et serverless
Serveurs MCP gérés par Databricks Public Preview Serverless uniquement
Alertes Databricks SQL Public Preview Standard et serverless
Incorporer l’espace Génie en tant qu’iframe Bêta Standard et serverless
Accès exclusif Préversion privée Standard et serverless
Serveurs MCP externes Public Preview Serverless uniquement
Application Genie pour Slack Public Preview Standard et serverless
Application Genie dans Microsoft Teams Bêta Standard et serverless
Connecteur Google Drive (standard) Bêta Standard et serverless
Étiquettes gouvernées Public Preview Standard et serverless
Mémoire élevée pour les tâches de calcul serverless Public Preview Serverless uniquement
Lakeflow Connect SQL Server Public Preview Standard et serverless
Inférence par lots LLM avec ai_query Public Preview Standard et serverless HIPAA uniquement
Lire des fichiers Excel Bêta Standard et serverless
Chemins d’accès secrets dans les variables d’environnement Public Preview Standard et serverless
Prévision sans serveur Public Preview Serverless uniquement
Kit de développement logiciel (SDK) Python pour prévisions serverless Préversion privée Serverless uniquement
Espaces de travail sans serveur Public Preview Serverless uniquement
Service Direct PrivateLink Public Preview Standard et serverless
connecteur SharePoint (géré) Bêta Standard et serverless
connecteur SharePoint (standard) Bêta Standard et serverless
Les tables système en préversion publique Public Preview Standard et serverless
Demandes d’accès au catalogue Unity Public Preview Standard et serverless
Contrôle d’accès basé sur les attributs du catalogue Unity (ABAC) Public Preview Standard et serverless
Autorisation utilisateur pour Databricks Apps Public Preview Standard et serverless
Fonctions définies par l’utilisateur dans le catalogue Unity Public Preview Standard et serverless
Approvisionnement SCIM au niveau de l’espace de travail Public Preview Standard et serverless Fonctionnalité héritée. Consultez Approvisionnement SCIM au niveau du compte et de l’espace de travail.