Delen via

Dubbele versleuteling configureren voor DBFS-hoofdmap

  • Artikel

Notitie

Deze functie is alleen beschikbaar in het Premium-abonnement.

Databricks File System (DBFS) is een gedistribueerd bestandssysteem dat is gekoppeld aan een Azure Databricks-werkruimte en beschikbaar is in Azure Databricks-clusters. DBFS wordt geïmplementeerd als een opslagaccount in de beheerde resourcegroep van uw Azure Databricks-werkruimte. De standaardlocatie in DBFS wordt de DBFS-hoofdmap genoemd.

Azure Storage versleutelt automatisch alle gegevens in het werkruimteopslagaccount, inclusief DBFS-hoofdopslag, op serviceniveau met behulp van 256-bits AES-versleuteling. Dit is een van de sterkste blok ciphers beschikbaar en is FIPS 140-2 compatibel. Als u een hogere mate van zekerheid nodig hebt dat uw gegevens veilig zijn, kunt u ook 256-bits AES-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden de gegevens in een opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario where een van de versleutelingsalgoritmen of sleutels is aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.

In dit artikel wordt beschreven hoe u een werkruimte maakt waarmee infrastructuurversleuteling (en dus dubbele versleuteling) voor een werkruimteopslagaccount wordt toegevoegd. U moet infrastructuurversleuteling inschakelen bij het maken van een werkruimte; u kunt geen infrastructuurversleuteling toevoegen aan een bestaande werkruimte.

Vereisten

Een werkruimte maken met dubbele versleuteling met behulp van Azure Portal

Volg de instructies voor het maken van een werkruimte met behulp van Azure Portal in quickstart: Voer een Spark-taak uit in Azure Databricks Workspace met behulp van Azure Portal en voeg deze stappen toe:

  1. Voer in PowerShell de volgende opdrachten uit, waarmee u infrastructuurversleuteling kunt inschakelen in Azure Portal.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. Klik op de pagina Een Azure Databricks-werkruimte maken (Een Resource > Analytics > Azure Databricks maken) op het tabblad Geavanceerd .

  3. Naast Infrastructuurversleuteling inschakelen, selectJa.

    Dubbele versleuteling inschakelen bij het maken van een werkruimte

  4. Wanneer u klaar bent met de configuratie van uw werkruimte en de werkruimte hebt gemaakt, controleert u of infrastructuurversleuteling is ingeschakeld.

    Ga op de resourcepagina voor de Azure Databricks-werkruimte naar het zijbalkmenu en selectInstellingen > Encryptie. Controleer of Infrastructuurversleuteling inschakelen is geselecteerd.

    Dubbele versleuteling controleren na het maken van de werkruimte

Een werkruimte maken met dubbele versleuteling met behulp van PowerShell

Volg de instructies in quickstart: Een Azure Databricks-werkruimte maken met behulp van PowerShell, waarbij u de optie -RequireInfrastructureEncryption toevoegt aan de opdracht die u uitvoert in de stap Een Azure Databricks-werkruimte maken:

Bijvoorbeeld:

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Nadat uw werkruimte is gemaakt, controleert u of infrastructuurversleuteling is ingeschakeld door het volgende uit te voeren:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption moet set worden om truete zijn.

Zie de naslaginformatie over de Az.Databricks-module voor meer informatie over PowerShell-cmdlets voor Azure Databricks-werkruimten.

Een werkruimte met dubbele versleuteling maken met behulp van de Azure CLI

Wanneer u een werkruimte maakt met behulp van de Azure CLI, neemt u de optie op --require-infrastructure-encryption.

Bijvoorbeeld:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Nadat uw werkruimte is gemaakt, controleert u of infrastructuurversleuteling is ingeschakeld door het volgende uit te voeren:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

Het requireInfrastructureEncryption veld moet aanwezig zijn in de encryptie-eigenschap en set tot true.

Zie de opdrachtreferentie az databricks workspace voor meer informatie over Azure CLI-opdrachten voor Azure Databricks-werkruimten.