Freigeben über


Konfigurieren der Mehrfachverschlüsselung für den DBFS-Stamm

Hinweis

Dieses Feature ist nur im Premium-Plan verfügbar.

Das Databricks-Dateisystem (Databricks File System, DBFS) ist ein verteiltes Dateisystem, das in einen Azure Databricks-Arbeitsbereich eingebunden und in Azure Databricks-Clustern verfügbar ist. DBFS wird als Speicherkonto in der verwalteten Ressourcengruppe Ihres Azure Databricks-Arbeitsbereichs implementiert. Der Standardspeicherort in DBFS wird als DBFS-Stamm bezeichnet.

Azure Storage verschlüsselt automatisch alle Daten im Speicherkonto Ihres Arbeitsbereichs (einschließlich des DBFS-Stammspeichers) auf Dienstebene mit 256-Bit-AES-Verschlüsselung. Dies ist eine der stärksten verfügbaren Blockchiffren sowie FIPS 140-2-konform. Wenn Sie besonders sicher sein müssen, dass Ihre Daten sicher sind, können Sie auch 256-Bit-AES-Verschlüsselung auf Azure Storage-Infrastrukturebene aktivieren. Wenn die Infrastrukturverschlüsselung aktiviert ist, werden Daten in einem Speicherkonto zweimal, einmal auf dem Servicelevel und einmal auf der Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Die doppelte Verschlüsselung von Azure Storage-Daten schützt vor dem Szenario, dass einer der Verschlüsselungsalgorithmen oder Schlüssel kompromittiert wurde. In diesem Szenario werden die Daten weiterhin durch die zusätzliche Verschlüsselungsebene geschützt.

In diesem Artikel wird beschrieben, wie Sie einen Arbeitsbereich erstellen, der Infrastrukturverschlüsselung (und damit doppelte Verschlüsselung) für das Speicherkonto Ihres Arbeitsbereichs hinzufügt. Sie müssen die Infrastrukturverschlüsselung bei der Erstellung des Arbeitsbereichs aktivieren. Sie können einem vorhandenen Arbeitsbereich keine Infrastrukturverschlüsselung hinzufügen.

Anforderungen

Erstellen Eines Arbeitsbereichs mit doppelter Verschlüsselung mithilfe des Azure-Portals

Befolgen Sie die Anweisungen zum Erstellen eines Arbeitsbereichs mithilfe des Azure-Portals unter Schnellstart: Ausführen eines Spark-Auftrags im Azure Databricks-Arbeitsbereich mithilfe des Azure-Portals, und fügen Sie die folgenden Schritte hinzu:

  1. Führen Sie in PowerShell die folgenden Befehle aus, mit denen Sie die Infrastrukturverschlüsselung in der Azure-Portal.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
    
    Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
    
  2. Klicken Sie auf der Seite Azure Databricks Arbeitsbereich erstellen (Ressource erstellen > Analytics > Azure Databricks) auf die Registerkarte Erweitert.

  3. Wählen Sie neben Infrastrukturverschlüsselung aktivieren die Option Ja aus.

    Aktivieren der Mehrfachverschlüsselung bei der Arbeitsbereichserstellung

  4. Wenn Sie die Arbeitsbereichskonfiguration abgeschlossen und den Arbeitsbereich erstellt haben, überprüfen Sie, ob die Infrastrukturverschlüsselung aktiviert ist.

    Wechseln Sie auf der Ressourcenseite für Azure Databricks Arbeitsbereich zum Randleistenmenü, und wählen Sie Einstellungen > Verschlüsselung aus. Vergewissern Sie sich, dass Infrastrukturverschlüsselung aktivieren ausgewählt ist.

    Überprüfen der Mehrfachverschlüsselung nach der Arbeitsbereichserstellung

Erstellen Eines Arbeitsbereichs mit doppelter Verschlüsselung mithilfe von PowerShell

Befolgen Sie die Anweisungen unter Schnellstart: Erstellen eines Azure Databricks-Arbeitsbereichs mithilfe von PowerShell, und fügen Sie dem Befehl, den Sie im Schritt Erstellen eines Azure Databricks ausführen, die Option -RequireInfrastructureEncryption hinzu:

Ein auf ein Objekt angewendeter

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Nachdem Ihr Arbeitsbereich erstellt wurde, überprüfen Sie, ob die Infrastrukturverschlüsselung aktiviert ist, indem Sie Folgendes ausführen:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption sollte auf true festgelegt sein.

Weitere Informationen zu PowerShell-Cmdlets für Azure Databricks-Arbeitsbereiche finden Sie in der Az.Databricks-Modulreferenz.

Erstellen Eines Arbeitsbereichs mit doppelter Verschlüsselung mithilfe des Azure-CLI

Wenn Sie einen Arbeitsbereich mithilfe des Azure CLI erstellen, schließen Sie die Option --require-infrastructure-encryption ein.

Ein auf ein Objekt angewendeter

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Nachdem Ihr Arbeitsbereich erstellt wurde, überprüfen Sie, ob die Infrastrukturverschlüsselung aktiviert ist, indem Sie Folgendes ausführen:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

Das Feld requireInfrastructureEncryption sollte in der Verschlüsselungseigenschaft vorhanden sein und auf true festgelegt sein.

Weitere Informationen zu Azure CLI-Befehlen für Azure Databricks-Arbeitsbereiche finden Sie in der Befehlsreferenz zum Azure Databricks-Arbeitsbereich.