Sdílet prostřednictvím

Konfigurace dvojitého šifrování pro kořenový adresář DBFS

  • Článek

Poznámka:

Tato funkce je dostupná jenom v plánu Premium.

Systém souborů Databricks (DBFS) je distribuovaný systém souborů připojený k pracovnímu prostoru Azure Databricks a dostupný v clusterech Azure Databricks. DBFS se ve skupině spravovaných prostředků pracovního prostoru Azure Databricks implementuje jako účet úložiště. Výchozí umístění v DBFS se označuje jako kořen DBFS.

Azure Storage automaticky šifruje všechna data v účtu úložiště pracovního prostoru, včetně kořenového úložiště DBFS, na úrovni služby pomocí 256bitového šifrování AES. Jedná se o jednu z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Pokud požadujete vyšší úroveň záruky zabezpečení vašich dat, můžete také povolit 256bitové šifrování AES na úrovni infrastruktury služby Azure Storage. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči. Dvojité šifrování dat Azure Storage chrání před scénářem, kdy dojde k ohrožení jednoho z šifrovacích algoritmů nebo klíčů. V tomto scénáři bude další vrstva šifrování i nadále chránit vaše data.

Tento článek popisuje, jak vytvořit pracovní prostor, který přidává šifrování infrastruktury (a proto dvojité šifrování) pro účet úložiště pracovního prostoru. Při vytváření pracovního prostoru musíte povolit šifrování infrastruktury; Do existujícího pracovního prostoru nelze přidat šifrování infrastruktury.

Požadavky

Vytvoření pracovního prostoru s dvojitým šifrováním pomocí webu Azure Portal

Postupujte podle pokynů k vytvoření pracovního prostoru pomocí webu Azure Portal v rychlém startu: Spusťte úlohu Sparku v pracovním prostoru Azure Databricks pomocí webu Azure Portal a přidejte tyto kroky:

  1. V PowerShellu spusťte následující příkazy, které vám umožní povolit šifrování infrastruktury na webu Azure Portal.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. Na stránce Vytvořit pracovní prostor Azure Databricks (Vytvoření analýzy > prostředků > Azure Databricks) klikněte na kartu Upřesnit.

  3. Vedle možnosti Povolit šifrování infrastruktury vyberte Ano.

    Povolení dvojitého šifrování při vytváření pracovního prostoru

  4. Po dokončení konfigurace pracovního prostoru a vytvoření pracovního prostoru ověřte, že je povolené šifrování infrastruktury.

    Na stránce prostředků pracovního prostoru Azure Databricks přejděte do nabídky bočního panelu a vyberte > nastavení. Ověřte, že je zaškrtnuté políčko Povolit šifrování infrastruktury.

    Ověření dvojitého šifrování po vytvoření pracovního prostoru

Vytvoření pracovního prostoru s dvojitým šifrováním pomocí PowerShellu

Postupujte podle pokynů v rychlém startu: Vytvořte pracovní prostor Azure Databricks pomocí PowerShellu a přidejte možnost -RequireInfrastructureEncryption do příkazu, který spustíte v kroku Vytvoření pracovního prostoru Azure Databricks:

Příklad:

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Po vytvoření pracovního prostoru ověřte, že je povolené šifrování infrastruktury spuštěním příkazu:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption by měla být nastavena na truehodnotu .

Další informace o rutinách PowerShellu pro pracovní prostory Azure Databricks najdete v referenčních informacích k modulu Az.Databricks.

Vytvoření pracovního prostoru s dvojitým šifrováním pomocí Azure CLI

Při vytváření pracovního prostoru pomocí Azure CLI uveďte možnost --require-infrastructure-encryption.

Příklad:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Po vytvoření pracovního prostoru ověřte, že je povolené šifrování infrastruktury spuštěním příkazu:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

Pole requireInfrastructureEncryption by mělo být přítomno ve vlastnosti šifrování a nastaveno na truehodnotu .

Další informace o příkazech Azure CLI pro pracovní prostory Azure Databricks najdete v referenčních informacích k příkazu az databricks workspace.