共用方式為

設定增強的安全性與合規性設定

  • 發行項

增強的安全性與合規性是平台附加元件,可為您的合規性需求提供增強的安全性和控制。 請參閱價格頁面。 本文說明如何在您的 Azure Databricks 工作區上設定增強的安全性與合規性設定。 您的 Azure Databricks 工作區必須使用進階方案

使用 Azure 入口網站啟用增強的安全性與合規性功能

  1. 在 Azure 入口網站中,按一下現有 Azure Databricks 工作區或 Azure Databricks 工作區建立頁面上的安全性與合規性索引標籤。

  2. 若要開啟合規性安全性設定檔,請選擇 [啟用合規性安全性設定檔] 旁的複選框,。 在下拉式清單中,選取一或多個合規性標準,或選取 [無 ]。

    新工作區 Azure 入口網站 中增強的安全性與合規性附加元件功能。

    如果您啟用合規性安全性設定檔或新增合規性標準,這些選取項目會永久用於該工作區。

  3. 若要啟用增強式安全性監視,請選取複選框 啟用增強式安全性監視

  4. 若要啟用自動叢集更新,請選取 [啟用自動叢集更新] 複選框。

    若要設定維護期間及其頻率,請參閱 自動叢集更新

使用ARM範本啟用增強的安全性與合規性功能

您可以使用 Databricks 提供的 ARM 範本來設定增強的安全性與合規性附加元件功能。 其中包含您可以設定為 EnabledDisabled的其他參數。 如果您想要將它們新增至現有的範本以更新工作區,您可以這麼做。 您可以獨立設定功能,除非另有說明。

  • complianceSecurityProfile:啟用合規性安全性配置檔。 啟用後,此功能會在工作區上永久啟用。
  • complianceStandards:設定要與合規性安全性配置檔搭配使用的合規性標準陣列。
    • 如果 complianceSecurityProfile 設定為 Disabled,則傳遞空陣列。
    • 如果 complianceSecurityProfile 設定為 Enabled,您必須傳遞一個或多個字串的陣列,以指定您希望工作區滿足的合規標準(如果有的話)。 可能的選取項目為 HIPAAPCI_DSSNONE。 如果您只針對合規性安全性配置檔的安全性優點使用,但不要處理任何受管制的資料,請新增單一陣列元素 NONE
  • enhancedSecurityMonitoring — 啟用增強的安全性監視。 如果已啟用合規性安全性配置檔,您必須在範本中明確將此功能設定為 Enabled
  • automaticClusterUpdate — 啟用自動叢集更新。 如果已啟用合規性安全性配置檔,您必須在範本中明確將此功能設定為 Enabled。 若要設定維護期間及其頻率,請參閱 自動叢集更新

若要使用其中一或多個功能來更新工作區,請遵循與使用範本建立新工作區相同的指示來部署自定義範本。 不過,請檢查您是否使用原始範本,然後將提供的範例範本中的欄位複製到現有的工作區範本。

含增強式安全性與合規性特徵的工作區範本

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "disablePublicIp": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
      }
    },
    "workspaceName": {
      "type": "string",
      "metadata": {
        "description": "The name of the Azure Databricks workspace to create."
      }
    },
    "pricingTier": {
      "type": "string",
      "defaultValue": "premium",
      "allowedValues": [
        "standard",
        "premium"
      ],
      "metadata": {
        "description": "The pricing tier of workspace."
      }
    },
  "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "automaticClusterUpdate": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": [
        "Disabled",
        "Enabled"
      ],
      "metadata": {
        "description": "Enable/Disable automatic cluster update"
      }
    },
  "enhancedSecurityMonitoring": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": [
        "Disabled",
        "Enabled"
      ],
      "metadata": {
        "description": "Enable/Disable enhanced security monitoring"
      }
    },
  "complianceSecurityProfile": {
      "type": "string",
      "defaultValue": "Disabled",
      "allowedValues": [
        "Disabled",
        "Enabled"
      ],
      "metadata": {
        "description": "Enable/Disable the Compliance Security Profile"
      }
    },
  "complianceStandards": {
      "type": "array",
      "defaultValue": [],
      "allowedValues": [
        [],
        ["NONE"],
        ["HIPAA"],
        ["PCI_DSS"],
        ["HIPAA", "PCI_DSS"]
      ],
      "metadata": {
        "description": "Specify the desired compliance standards for your compliance security profile"
      }
    }
  },
  "variables": {
    "managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
    "trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
    "managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.Databricks/workspaces",
      "apiVersion": "2023-09-15-preview",
      "name": "[parameters('workspaceName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('pricingTier')]"
      },
      "properties": {
        "managedResourceGroupId": "[variables('managedResourceGroupId')]",
        "parameters": {
          "enableNoPublicIp": {
            "value": "[parameters('disablePublicIp')]"
          }
        },
        "enhancedSecurityCompliance": {
          "automaticClusterUpdate": {
            "value": "[parameters('automaticClusterUpdate')]"
          },
          "complianceSecurityProfile": {
            "value": "[parameters('complianceSecurityProfile')]",
            "complianceStandards": "[parameters('complianceStandards')]"
          },
          "enhancedSecurityMonitoring": {
            "value": "[parameters('enhancedSecurityMonitoring')]"
          }
        }
      }
    }
  ],
  "outputs": {
    "workspace": {
      "type": "object",
      "value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
    }
  }
}

使用 Terraform 啟用增強的安全性與合規性功能

您也可以使用適用於 Databricks 的 azurerm Terraform 外掛程式,在 Azure Databricks 工作區上啟用增強的安全性與合規性。 如需 azurerm Terraform 外掛程式的詳細資訊,請參閱 azurerm_databricks_workspace

例如,若要建立已啟用 HIPAA 和 PCI-DSS 合規性控件的 Azure Databricks 工作區,請使用下列專案:

resource "azurerm_databricks_workspace" "this" {
  name                        = "${local.prefix}-workspace"
  resource_group_name         = azurerm_resource_group.this.name
  location                    = azurerm_resource_group.this.location
  sku                         = "premium"
  managed_resource_group_name = "${local.prefix}-workspace-rg"
  tags                        = local.tags

  enhanced_security_compliance {
  automatic_cluster_update_enabled    = true
  compliance_security_profile_enabled   = true
  compliance_security_profile_standards = ["HIPAA", "PCI_DSS"]
  enhanced_security_monitoring_enabled  = true
  }
}