Konfigurace dvojitého šifrování pro kořenový adresář DBFS

Poznámka:

Tato funkce je dostupná jenom v plánu Premium.

Systém souborů Databricks (DBFS) je distribuovaný systém souborů připojený k pracovnímu prostoru Azure Databricks a dostupný v clusterech Azure Databricks. DBFS se implementuje jako účet úložiště ve spravované skupině prostředků pracovního prostoru Azure Databricks. Výchozí umístění v DBFS se označuje jako kořen DBFS.

Azure Storage automaticky šifruje všechna data v účtu úložiště pracovního prostoru, včetně kořenového úložiště DBFS, na úrovni služby pomocí 256bitového šifrování AES. Jedná se o jednu z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Pokud požadujete vyšší úroveň záruky zabezpečení vašich dat, můžete také povolit 256bitové šifrování AES na úrovni infrastruktury služby Azure Storage. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči. Dvojité šifrování dat Azure Storage chrání před scénářem, kdy dojde k ohrožení jednoho z šifrovacích algoritmů nebo klíčů. V tomto scénáři bude další vrstva šifrování i nadále chránit vaše data.

Tento článek popisuje, jak vytvořit pracovní prostor, který přidává šifrování infrastruktury, a tím i dvojité šifrování, pro účet úložiště pracovního prostoru. Při vytváření pracovního prostoru musíte povolit šifrování infrastruktury; Do existujícího pracovního prostoru nelze přidat šifrování infrastruktury.

Požadavky

Vytvoření pracovního prostoru s dvojitým šifrováním pomocí webu Azure Portal

Postupujte podle pokynů k vytvoření pracovního prostoru pomocí webu Azure Portal v rychlém startu: Spusťte úlohu Sparku v pracovním prostoru Azure Databricks pomocí webu Azure Portal a přidejte tyto kroky:

  1. V PowerShellu spusťte následující příkazy, které vám umožní povolit šifrování infrastruktury na webu Azure Portal.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
    
    Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
    
  2. Na stránce Vytvořit pracovní prostor Azure Databricks (Create a resource > Analytics > Azure Databricks), klikněte na kartu Upřesnit.

  3. Vedle možnosti Povolit šifrování infrastruktury vyberte Ano.

    Povolení dvojitého šifrování při vytváření pracovního prostoru

  4. Po dokončení konfigurace pracovního prostoru a vytvoření pracovního prostoru ověřte, že je povolené šifrování infrastruktury.

    Na stránce prostředků pracovního prostoru Azure Databricks přejděte v postranní nabídce na Nastavení > Šifrování. Ověřte, že je zaškrtnuté políčko Povolit šifrování infrastruktury.

    Ověření dvojitého šifrování po vytvoření pracovního prostoru

Vytvoření pracovního prostoru s dvojitým šifrováním pomocí PowerShellu

Postupujte podle pokynů v tématu Nasazení pracovního prostoru pomocí PowerShellu a přidejte možnost -RequireInfrastructureEncryption do příkazu, který spustíte v kroku Vytvoření pracovního prostoru Azure Databricks :

Příklad:

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Po vytvoření pracovního prostoru ověřte, že je povolené šifrování infrastruktury spuštěním příkazu:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption by měla být nastavena na true.

Další informace o rutinách PowerShellu pro pracovní prostory Azure Databricks najdete v referenčních informacích k modulu Az.Databricks.

Vytvoření pracovního prostoru s dvojitým šifrováním pomocí Azure CLI

Při vytváření pracovního prostoru pomocí Azure CLI uveďte možnost --require-infrastructure-encryption.

Příklad:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Po vytvoření pracovního prostoru ověřte, že je povolené šifrování infrastruktury spuštěním příkazu:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

Pole requireInfrastructureEncryption by mělo být přítomno ve vlastnosti šifrování a nastaveno na truehodnotu .

Další informace o příkazech Azure CLI pro pracovní prostory Azure Databricks najdete v referenčních informacích k příkazu az databricks workspace.