Konfigurace dvojitého šifrování pro kořenový adresář DBFS
Poznámka:
Tato funkce je dostupná jenom v plánu Premium.
Systém souborů Databricks (DBFS) je distribuovaný systém souborů připojený k pracovnímu prostoru Azure Databricks a dostupný v clusterech Azure Databricks. DBFS se ve skupině spravovaných prostředků pracovního prostoru Azure Databricks implementuje jako účet úložiště. Výchozí umístění v DBFS se označuje jako kořen DBFS.
Azure Storage automaticky šifruje všechna data v účtu úložiště ( včetně kořenového úložiště DBFS) na úrovni služby pomocí 256bitového šifrování AES. Jedná se o jednu z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Pokud požadujete vyšší úroveň záruky zabezpečení vašich dat, můžete také povolit 256bitové šifrování AES na úrovni infrastruktury služby Azure Storage. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči. Dvojité šifrování dat Azure Storage chrání před scénářem, kdy dojde k ohrožení jednoho z šifrovacích algoritmů nebo klíčů. V tomto scénáři bude další vrstva šifrování i nadále chránit vaše data.
Tento článek popisuje, jak vytvořit pracovní prostor, který přidává šifrování infrastruktury (a proto dvojité šifrování) pro kořenové úložiště pracovního prostoru. Při vytváření pracovního prostoru musíte povolit šifrování infrastruktury; Do existujícího pracovního prostoru nelze přidat šifrování infrastruktury.
Požadavky
Vytvoření pracovního prostoru s dvojitým šifrováním pomocí webu Azure Portal
Postupujte podle pokynů k vytvoření pracovního prostoru pomocí webu Azure Portal v rychlém startu: Spusťte úlohu Sparku v pracovním prostoru Azure Databricks pomocí webu Azure Portal a přidejte tyto kroky:
V PowerShellu spusťte následující příkazy, které vám umožní povolit šifrování infrastruktury na webu Azure Portal.
Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryptionNa stránce Vytvořit pracovní prostor Azure Databricks (Vytvoření analýzy > prostředků > Azure Databricks) klikněte na kartu Upřesnit.
Vedle možnosti Povolit šifrování infrastruktury vyberte Ano.
Po dokončení konfigurace pracovního prostoru a vytvoření pracovního prostoru ověřte, že je povolené šifrování infrastruktury.
Na stránce prostředků pracovního prostoru Azure Databricks přejděte do nabídky bočního panelu a vyberte Nastavení > Šifrování. Ověřte, že je zaškrtnuté políčko Povolit šifrování infrastruktury.
Vytvoření pracovního prostoru s dvojitým šifrováním pomocí PowerShellu
Postupujte podle pokynů v rychlém startu: Vytvořte pracovní prostor Azure Databricks pomocí PowerShellu a přidejte možnost -RequireInfrastructureEncryption do příkazu, který spustíte v kroku Vytvoření pracovního prostoru Azure Databricks:
Příklad:
New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption
Po vytvoření pracovního prostoru ověřte, že je povolené šifrování infrastruktury spuštěním příkazu:
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> | fl
RequireInfrastructureEncryption by měla být nastavena na truehodnotu .
Další informace o rutinách PowerShellu pro pracovní prostory Azure Databricks najdete v referenčních informacích k modulu Az.Databricks.
Vytvoření pracovního prostoru s dvojitým šifrováním pomocí Azure CLI
Při vytváření pracovního prostoru pomocí Azure CLI uveďte možnost --require-infrastructure-encryption.
Příklad:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption
Po vytvoření pracovního prostoru ověřte, že je povolené šifrování infrastruktury spuštěním příkazu:
az databricks workspace show --name <workspace-name> --resource-group <resource-group>
Pole requireInfrastructureEncryption by mělo být přítomno ve vlastnosti šifrování a nastaveno na truehodnotu .
Další informace o příkazech Azure CLI pro pracovní prostory Azure Databricks najdete v referenčních informacích k příkazu az databricks workspace.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro