Konfigurowanie rozszerzonych ustawień zabezpieczeń i zgodności
Ulepszone zabezpieczenia i zgodność to dodatek platformy, który zapewnia ulepszone zabezpieczenia i mechanizmy kontroli pod kątem potrzeb w zakresie zgodności. Zobacz stronę z cennikiem. W tym artykule opisano sposób konfigurowania rozszerzonych ustawień zabezpieczeń i zgodności w obszarze roboczym usługi Azure Databricks. Obszar roboczy usługi Azure Databricks musi znajdować się w planie Premium.
Włączanie rozszerzonych funkcji zabezpieczeń i zgodności przy użyciu witryny Azure Portal
W witrynie Azure Portal kliknij kartę Zabezpieczenia i zgodność w istniejącym obszarze roboczym usługi Azure Databricks lub na stronie tworzenia obszaru roboczego usługi Azure Databricks.
Aby włączyć profil zabezpieczeń zgodności, zaznacz pole wyboru obok pozycji Włącz profil zabezpieczeń zgodności. Z listy rozwijanej wybierz co najmniej jeden standard zgodności lub wybierz pozycję Brak.
Jeśli włączysz profil zabezpieczeń zgodności lub dodasz standardy zgodności, te opcje będą trwałe dla tego obszaru roboczego.
Aby włączyć rozszerzone monitorowanie zabezpieczeń, zaznacz pole wyboru Włącz rozszerzone monitorowanie zabezpieczeń.
Aby włączyć automatyczną aktualizację klastra, zaznacz pole wyboru Włącz automatyczną aktualizację klastra.
Aby skonfigurować okno obsługi i jego częstotliwość, zobacz Automatyczna aktualizacja klastra
Umożliw rozszerzone funkcje zabezpieczeń i zgodności przy użyciu szablonu ARM
Możesz skonfigurować funkcje dodatku Rozszerzone zabezpieczenia i zgodność za pomocą szablonu usługi ARM udostępnianego przez usługę Databricks. Zawiera on dodatkowe parametry, które można ustawić na Enabled
lub Disabled
. Jeśli chcesz dodać je do istniejącego szablonu w celu zaktualizowania obszaru roboczego, możesz to zrobić. Funkcje można ustawić niezależnie, z wyjątkiem wskazanych:
-
complianceSecurityProfile
: włącza profil zabezpieczeń zgodności. Po włączeniu tej funkcji ta funkcja jest trwale włączona w obszarze roboczym. -
complianceStandards
: konfiguruje tablicę standardów zgodności do użycia z profilem zabezpieczeń zgodności.- Jeśli
complianceSecurityProfile
ustawiono wartośćDisabled
, przekaż pustą tablicę. - Jeśli
complianceSecurityProfile
ustawiono wartośćEnabled
, należy przekazać tablicę jednego lub kilku ciągów określających standardy zgodności (jeśli istnieją) dla obszaru roboczego. Możliwe opcje toHIPAA
,PCI_DSS
lubNONE
. Dodaj pojedynczy elementNONE
tablicy, jeśli używasz profilu zabezpieczeń zgodności tylko dla jego korzyści zabezpieczeń, ale nie do przetwarzania żadnych danych regulowanych.
- Jeśli
-
enhancedSecurityMonitoring
— umożliwia ulepszone monitorowanie zabezpieczeń. Jeśli profil zabezpieczeń zgodności jest włączony, należy ustawić tę funkcję tak, abyEnabled
jawnie w szablonie. -
automaticClusterUpdate
— włącza automatyczną aktualizację klastra. Jeśli profil zabezpieczeń zgodności jest włączony, należy ustawić tę funkcję tak, abyEnabled
jawnie w szablonie. Aby skonfigurować okno obsługi i jego częstotliwość, zobacz Automatyczna aktualizacja klastra.
Aby zaktualizować obszar roboczy przy użyciu co najmniej jednej z tych funkcji, postępuj zgodnie z tymi samymi instrukcjami dotyczącymi wdrażania szablonu niestandardowego, co w przypadku tworzenia nowego obszaru roboczego przy użyciu szablonu. Sprawdź jednak, czy używasz oryginalnego szablonu, a następnie skopiuj pola z podanego przykładowego szablonu do istniejącego szablonu obszaru roboczego.
Szablon obszaru roboczego z rozszerzonymi funkcjami zabezpieczeń i zgodności
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"disablePublicIp": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
}
},
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create."
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": [
"standard",
"premium"
],
"metadata": {
"description": "The pricing tier of workspace."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
},
"automaticClusterUpdate": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable automatic cluster update"
}
},
"enhancedSecurityMonitoring": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable enhanced security monitoring"
}
},
"complianceSecurityProfile": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable the Compliance Security Profile"
}
},
"complianceStandards": {
"type": "array",
"defaultValue": [],
"allowedValues": [
[],
["NONE"],
["HIPAA"],
["PCI_DSS"],
["HIPAA", "PCI_DSS"]
],
"metadata": {
"description": "Specify the desired compliance standards for your compliance security profile"
}
}
},
"variables": {
"managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
"managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "2023-09-15-preview",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[variables('managedResourceGroupId')]",
"parameters": {
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
}
},
"enhancedSecurityCompliance": {
"automaticClusterUpdate": {
"value": "[parameters('automaticClusterUpdate')]"
},
"complianceSecurityProfile": {
"value": "[parameters('complianceSecurityProfile')]",
"complianceStandards": "[parameters('complianceStandards')]"
},
"enhancedSecurityMonitoring": {
"value": "[parameters('enhancedSecurityMonitoring')]"
}
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
}
}
}
Włączanie rozszerzonych funkcji zabezpieczeń i zgodności przy użyciu narzędzia Terraform
Rozszerzone zabezpieczenia i zgodność można również włączyć w obszarze roboczym usługi Azure Databricks przy użyciu wtyczki azurerm
Terraform dla usługi Databricks. Aby uzyskać więcej informacji na temat wtyczki azurerm
Terraform, zobacz azurerm_databricks_workspace.
Aby na przykład utworzyć obszar roboczy usługi Azure Databricks z włączonymi mechanizmami HIPAA i PCI-DSS kontroli zgodności, użyj następujących elementów:
resource "azurerm_databricks_workspace" "this" {
name = "${local.prefix}-workspace"
resource_group_name = azurerm_resource_group.this.name
location = azurerm_resource_group.this.location
sku = "premium"
managed_resource_group_name = "${local.prefix}-workspace-rg"
tags = local.tags
enhanced_security_compliance {
automatic_cluster_update_enabled = true
compliance_security_profile_enabled = true
compliance_security_profile_standards = ["HIPAA", "PCI_DSS"]
enhanced_security_monitoring_enabled = true
}
}