Doporučení pro práci s kořenovým adresářem DBFS
Azure Databricks používá kořenový adresář DBFS jako výchozí umístění pro některé akce pracovního prostoru. Databricks doporučuje ukládat veškerá produkční data nebo citlivé informace do kořenového adresáře DBFS. Tento článek se zaměřuje na doporučení, která brání náhodnému vystavení citlivých dat v kořenovém adresáři DBFS.
Poznámka:
Azure Databricks konfiguruje samostatné privátní úložiště pro zachování dat a konfigurací v cloudovém úložišti vlastněné zákazníkem, označované jako interní DBFS. Toto umístění není přístupné uživatelům.
Důležité
Od 6. března 2023 používají nové pracovní prostory Azure Databricks účty úložiště Azure Data Lake Storage Gen2 pro kořen DBFS. Dříve zřízené pracovní prostory používají službu Blob Storage.
Informovat uživatele, aby neukládaly data v kořenovém adresáři DBFS
Vzhledem k tomu, že kořenový adresář DBFS je přístupný všem uživatelům v pracovním prostoru, mají všichni uživatelé přístup k jakýmkoli datům uloženým tady. Je důležité dát uživatelům pokyn, aby se vyhnuli používání tohoto umístění pro ukládání citlivých dat. Výchozí umístění spravovaných tabulek v metastoru Hive v Azure Databricks je kořen DBFS; aby koncoví uživatelé, kteří vytvářejí spravované tabulky, nemohli zapisovat do kořenového adresáře DBFS, deklarujte umístění v externím úložišti při vytváření databází v metastoru Hive.
Spravované tabulky Unity Catalog ve výchozím nastavení používají zabezpečené úložiště. Databricks doporučuje používat katalog Unity pro spravované tabulky.
Monitorování aktivit pomocí protokolování auditu
Poznámka:
Podrobnosti o událostech auditu DBFS najdete v tématu Události DBFS.
Šifrování dat v kořenovém adresáři DBFS pomocí klíče spravovaného zákazníkem
Kořenová data DBFS můžete šifrovat pomocí klíče spravovaného zákazníkem. Zobrazení klíčů spravovaných zákazníkem pro kořen DBFS
Důležité
Nezakazujte Storage account key access účet úložiště, který zálohuje kořenový adresář DBFS. Zakázání tohoto nastavení vede k neočekávanému chování a chybám.