設定增強的安全性與合規性設定
增強的安全性與合規性是平台附加元件,可為您的合規性需求提供增強的安全性和控制。 請參閱價格頁面。 本文說明如何在您的 Azure Databricks 工作區上設定增強的安全性與合規性設定。 您的 Azure Databricks 工作區必須使用進階方案。
使用 Azure 入口網站啟用增強的安全性與合規性功能
在 Azure 入口網站中,按一下現有 Azure Databricks 工作區或 Azure Databricks 工作區建立頁面上的安全性與合規性索引標籤。
若要啟用合規性安全性配置檔,請勾選 [啟用合規性安全性配置檔] 旁的複選框 select。 在下拉式清單中,select 一或多個合規性標準或 selectNone。
如果您啟用合規性安全性設定檔或新增合規性標準,這些選取項目會永久用於該工作區。
若要啟用增強式安全性監視,請在 複選框 select 啟用增強式安全性監視。
若要啟用自動叢集 update,select[啟用自動叢集 update] 複選框。
若要設定維護 window 及其頻率,請參閱自動叢集 update
使用ARM範本啟用增強的安全性與合規性功能
您可以使用 Databricks 提供的 ARM 範本來設定增強的安全性與合規性附加元件功能。 它包含其他 parameters,您可以 setEnabled 或 Disabled。 如果您想要將它們新增至現有的範本,將其用於 update 工作區,您可以這樣做。 除了指明的以外,您可以獨立使用 set 功能:
-
complianceSecurityProfile:啟用合規性安全性配置檔。 啟用後,此功能會在工作區上永久啟用。 -
complianceStandards:設定要與合規性安全性配置檔搭配使用的合規性標準陣列。- 如果
complianceSecurityProfile是 set 至Disabled,則傳回空陣列。 - 如果
complianceSecurityProfile是從 set 到Enabled的情況,您必須傳遞一個或多個字串的陣列,以指定(如果有的話)您想要的工作區符合的標準。 可能的選取項目為HIPAA、PCI_DSS或NONE。 如果您只針對合規性安全性配置檔的安全性優點使用,但不要處理任何受管制的資料,請新增單一陣列元素NONE。
- 如果
-
enhancedSecurityMonitoring— 啟用增強的安全性監視。 如果已啟用合規性安全性配置檔,您必須在範本中明確Enabled的同時 set 此功能。 -
automaticClusterUpdate— 啟用自動叢集 update。 如果已啟用合規性安全性設定檔,您必須 set 此功能,才能在範本中明確Enabled。 若要設定維護 window 及其頻率,請參閱 自動叢集 update。
若要 update 具有一或多個這些功能的工作區,請遵循部署自定義範本的相同指示,就像使用範本建立新工作區一樣。 不過,請檢查您是否使用原始範本,然後將提供的範例範本中的欄位複製到現有的工作區範本。
含增強式安全性與合規性特徵的工作區範本
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"disablePublicIp": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
}
},
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create."
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": [
"standard",
"premium"
],
"metadata": {
"description": "The pricing tier of workspace."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
},
"automaticClusterUpdate": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable automatic cluster update"
}
},
"enhancedSecurityMonitoring": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable enhanced security monitoring"
}
},
"complianceSecurityProfile": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": [
"Disabled",
"Enabled"
],
"metadata": {
"description": "Enable/Disable the Compliance Security Profile"
}
},
"complianceStandards": {
"type": "array",
"defaultValue": [],
"allowedValues": [
[],
["NONE"],
["HIPAA"],
["PCI_DSS"],
["HIPAA", "PCI_DSS"]
],
"metadata": {
"description": "Specify the desired compliance standards for your compliance security profile"
}
}
},
"variables": {
"managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
"managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "2023-09-15-preview",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[variables('managedResourceGroupId')]",
"parameters": {
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
}
},
"enhancedSecurityCompliance": {
"automaticClusterUpdate": {
"value": "[parameters('automaticClusterUpdate')]"
},
"complianceSecurityProfile": {
"value": "[parameters('complianceSecurityProfile')]",
"complianceStandards": "[parameters('complianceStandards')]"
},
"enhancedSecurityMonitoring": {
"value": "[parameters('enhancedSecurityMonitoring')]"
}
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
}
}
}
使用 Terraform 啟用增強的安全性與合規性功能
您也可以使用適用於 Databricks 的 azurerm Terraform 外掛程式,在 Azure Databricks 工作區上啟用增強的安全性與合規性。 如需 azurerm Terraform 外掛程式的詳細資訊,請參閱 azurerm_databricks_workspace。
例如,若要建立已啟用 HIPAA 和 PCI-DSS 合規性控件的 Azure Databricks 工作區,請使用下列專案:
resource "azurerm_databricks_workspace" "this" {
name = "${local.prefix}-workspace"
resource_group_name = azurerm_resource_group.this.name
location = azurerm_resource_group.this.location
sku = "premium"
managed_resource_group_name = "${local.prefix}-workspace-rg"
tags = local.tags
enhanced_security_compliance {
automatic_cluster_update_enabled = true
compliance_security_profile_enabled = true
compliance_security_profile_standards = ["HIPAA", "PCI_DSS"]
enhanced_security_monitoring_enabled = true
}
}