Konfigurieren der Mehrfachverschlüsselung für den DBFS-Stamm
Hinweis
Dieses Feature ist nur im Premium-Plan verfügbar.
Das Databricks-Dateisystem (Databricks File System, DBFS) ist ein verteiltes Dateisystem, das in einen Azure Databricks-Arbeitsbereich eingebunden und in Azure Databricks-Clustern verfügbar ist. DBFS wird als Speicherkonto in der verwalteten Ressourcengruppe Ihres Azure Databricks-Arbeitsbereichs implementiert. Der Standardspeicherort in DBFS wird als DBFS-Stamm bezeichnet.
Azure Storage verschlüsselt automatisch alle Daten im Speicherkonto Ihres Arbeitsbereichs (einschließlich des DBFS-Stammspeichers) auf Dienstebene mit 256-Bit-AES-Verschlüsselung. Dies ist eine der stärksten verfügbaren Blockchiffren sowie FIPS 140-2-konform. Wenn Sie besonders sicher sein müssen, dass Ihre Daten sicher sind, können Sie auch 256-Bit-AES-Verschlüsselung auf Azure Storage-Infrastrukturebene aktivieren. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden Daten in einem Speicherkonto zweimal, einmal auf dem Servicelevel und einmal auf der Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Die doppelte Verschlüsselung von Azure Storage-Daten schützt vor dem Szenario, dass einer der Verschlüsselungsalgorithmen oder Schlüssel kompromittiert wurde. In diesem Szenario werden die Daten weiterhin durch die zusätzliche Verschlüsselungsebene geschützt.
In diesem Artikel wird beschrieben, wie Sie einen Arbeitsbereich erstellen, der Infrastrukturverschlüsselung (und damit doppelte Verschlüsselung) für das Speicherkonto Ihres Arbeitsbereichs hinzufügt. Sie müssen die Infrastrukturverschlüsselung bei der Erstellung des Arbeitsbereichs aktivieren. Sie können einem vorhandenen Arbeitsbereich keine Infrastrukturverschlüsselung hinzufügen.
Anforderungen
Erstellen Eines Arbeitsbereichs mit doppelter Verschlüsselung mithilfe des Azure-Portals
Befolgen Sie die Anweisungen zum Erstellen eines Arbeitsbereichs mithilfe des Azure-Portals unter Schnellstart: Ausführen eines Spark-Auftrags im Azure Databricks-Arbeitsbereich mithilfe des Azure-Portals, und fügen Sie die folgenden Schritte hinzu:
Führen Sie in PowerShell die folgenden Befehle aus, mit denen Sie die Infrastrukturverschlüsselung in der Azure-Portal.
Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
Klicken Sie auf der Seite Azure Databricks Arbeitsbereich erstellen (Ressource erstellen > Analytics > Azure Databricks) auf die Registerkarte Erweitert.
Wählen Sie neben Infrastrukturverschlüsselung aktivieren die Option Ja aus.
Wenn Sie die Arbeitsbereichskonfiguration abgeschlossen und den Arbeitsbereich erstellt haben, überprüfen Sie, ob die Infrastrukturverschlüsselung aktiviert ist.
Wechseln Sie auf der Ressourcenseite für Azure Databricks Arbeitsbereich zum Randleistenmenü, und wählen Sie Einstellungen > Verschlüsselung aus. Vergewissern Sie sich, dass Infrastrukturverschlüsselung aktivieren ausgewählt ist.
Erstellen Eines Arbeitsbereichs mit doppelter Verschlüsselung mithilfe von PowerShell
Befolgen Sie die Anweisungen unter Schnellstart: Erstellen eines Azure Databricks-Arbeitsbereichs mithilfe von PowerShell, und fügen Sie dem Befehl, den Sie im Schritt Erstellen eines Azure Databricks ausführen, die Option -RequireInfrastructureEncryption
hinzu:
Ein auf ein Objekt angewendeter
New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption
Nachdem Ihr Arbeitsbereich erstellt wurde, überprüfen Sie, ob die Infrastrukturverschlüsselung aktiviert ist, indem Sie Folgendes ausführen:
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> | fl
RequireInfrastructureEncryption
sollte auf true
festgelegt sein.
Weitere Informationen zu PowerShell-Cmdlets für Azure Databricks-Arbeitsbereiche finden Sie in der Az.Databricks-Modulreferenz.
Erstellen Eines Arbeitsbereichs mit doppelter Verschlüsselung mithilfe des Azure-CLI
Wenn Sie einen Arbeitsbereich mithilfe des Azure CLI erstellen, schließen Sie die Option --require-infrastructure-encryption
ein.
Ein auf ein Objekt angewendeter
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption
Nachdem Ihr Arbeitsbereich erstellt wurde, überprüfen Sie, ob die Infrastrukturverschlüsselung aktiviert ist, indem Sie Folgendes ausführen:
az databricks workspace show --name <workspace-name> --resource-group <resource-group>
Das Feld requireInfrastructureEncryption
sollte in der Verschlüsselungseigenschaft vorhanden sein und auf true
festgelegt sein.
Weitere Informationen zu Azure CLI-Befehlen für Azure Databricks-Arbeitsbereiche finden Sie in der Befehlsreferenz zum Azure Databricks-Arbeitsbereich.