Partilhar via

Configurar criptografia dupla para raiz DBFS

  • Artigo

Nota

Esta funcionalidade está disponível apenas no plano Premium.

O Sistema de Ficheiros do Databricks (DBFS) é um sistema de ficheiros distribuído montado numa área de trabalho do Azure Databricks e disponível em clusters Azure Databricks. O DBFS é implementado como uma conta de armazenamento no grupo de recursos geridos da sua área de trabalho do Azure Databricks. O local padrão no DBFS é conhecido como raiz DBFS.

O Armazenamento do Azure criptografa automaticamente todos os dados na conta de armazenamento do espaço de trabalho, incluindo o armazenamento raiz DBFS, no nível de serviço usando criptografia AES de 256 bits. Esta é uma das cifras de bloco mais fortes disponíveis e é compatível com FIPS 140-2. Se você precisar de níveis mais altos de garantia de que seus dados estão seguros, também poderá habilitar a criptografia AES de 256 bits no nível da infraestrutura de Armazenamento do Azure. Quando a encriptação de infraestrutura é ativada, os dados numa conta de armazenamento são encriptados duas vezes: uma ao nível do serviço e outra ao nível da infraestrutura, com dois algoritmos de encriptação e duas chaves diferentes. de criptografia dupla dos dados do Armazenamento do Azure protege contra um cenário em que um dos algoritmos ou chaves de criptografia é comprometido. Nesse cenário, a camada adicional de criptografia continua a proteger seus dados.

Este artigo descreve como criar um espaço de trabalho que adiciona criptografia de infraestrutura (e, portanto, criptografia dupla) para uma conta de armazenamento de espaço de trabalho. Você deve habilitar a criptografia de infraestrutura na criação do espaço de trabalho; Não é possível adicionar criptografia de infraestrutura a um espaço de trabalho existente.

Requisitos

Criar um espaço de trabalho com criptografia dupla usando o portal do Azure

Siga as instruções para criar um espaço de trabalho usando o portal do Azure em Guia de início rápido: executar um trabalho do Spark no Azure Databricks Workspace usando o portal do Azure, adicionando estas etapas:

  1. No PowerShell, execute os seguintes comandos, que permitirão habilitar a criptografia de infraestrutura no portal do Azure.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. Na página Criar um espaço de trabalho do Azure Databricks (Criar um recurso > Analytics > Azure Databricks), clique na guia Avançado.

  3. Ao lado de Ativar criptografia de infraestrutura, selecione Sim.

    Habilitar criptografia dupla na criação do espaço de trabalho

  4. Quando terminar a configuração do espaço de trabalho e criá-lo, verifique se a criptografia de infraestrutura está habilitada.

    Na página de recursos do espaço de trabalho do Azure Databricks, vá para o menu da barra lateral e selecione Configurações > Criptografia. Confirme se a opção Ativar criptografia de infraestrutura está selecionada.

    Verificar criptografia dupla após a criação do espaço de trabalho

Criar um espaço de trabalho com criptografia dupla usando o PowerShell

Siga as instruções em Guia de início rápido: criar um espaço de trabalho do Azure Databricks usando o PowerShell, adicionando a opção -RequireInfrastructureEncryption ao comando executado na etapa Criar um espaço de trabalho do Azure Databricks:

Por exemplo,

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Depois que o espaço de trabalho for criado, verifique se a criptografia de infraestrutura está habilitada executando:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption deve ser definido como true.

Para obter mais informações sobre cmdlets do PowerShell para espaços de trabalho do Azure Databricks, consulte a referência do módulo Az.Databricks.

Criar um espaço de trabalho com criptografia dupla usando a CLI do Azure

Ao criar um espaço de trabalho usando a CLI do Azure, inclua a opção --require-infrastructure-encryption.

Por exemplo,

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Depois que o espaço de trabalho for criado, verifique se a criptografia de infraestrutura está habilitada executando:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

O campo requireInfrastructureEncryption deve estar presente na propriedade de encriptação e definido como true.

Para obter mais informações sobre os comandos da CLI do Azure para espaços de trabalho do Azure Databricks, consulte a referência de comando az databricks workspace.