Udostępnij za pośrednictwem


Rekomendacje dotycząće pracy z katalogiem głównym systemu plików DBFS

Usługa Azure Databricks używa katalogu głównego DBFS jako domyślnej lokalizacji dla niektórych akcji obszaru roboczego. Usługa Databricks zaleca przechowywanie jakichkolwiek danych produkcyjnych lub informacji poufnych w katalogu głównym systemu plików DBFS. Ten artykuł koncentruje się na zaleceniach, aby uniknąć przypadkowego ujawnienia poufnych danych w katalogu głównym systemu plików DBFS.

Uwaga

Usługa Azure Databricks konfiguruje oddzielną prywatną lokalizację magazynu na potrzeby utrwalania danych i konfiguracji w magazynie w chmurze należącym do klienta, znanym jako wewnętrzny system plików DBFS. Ta lokalizacja nie jest widoczna dla użytkowników.

Ważne

Od 6 marca 2023 r. nowe obszary robocze usługi Azure Databricks używają kont magazynu usługi Azure Data Lake Storage Gen2 dla katalogu głównego systemu plików DBFS. Wcześniej aprowizowane obszary robocze używają usługi Blob Storage.

Informowanie użytkowników, aby nie przechowywali danych w katalogu głównym systemu plików DBFS

Ponieważ katalog główny systemu plików DBFS jest dostępny dla wszystkich użytkowników w obszarze roboczym, wszyscy użytkownicy mogą uzyskiwać dostęp do dowolnych danych przechowywanych tutaj. Ważne jest, aby użytkownicy unikali używania tej lokalizacji do przechowywania poufnych danych. Domyślną lokalizacją tabel zarządzanych w magazynie metadanych Hive w usłudze Azure Databricks jest katalog główny systemu plików DBFS; aby uniemożliwić użytkownikom końcowym tworzenie tabel zarządzanych przed zapisaniem w katalogu głównym systemu plików DBFS, zadeklaruj lokalizację w magazynie zewnętrznym podczas tworzenia baz danych w magazynie metadanych Programu Hive.

Tabele zarządzane wykazu aparatu Unity domyślnie używają bezpiecznej lokalizacji przechowywania. Usługa Databricks zaleca używanie wykazu aparatu Unity dla tabel zarządzanych.

Monitorowanie aktywności za pomocą rejestrowania inspekcji

Uwaga

Aby uzyskać szczegółowe informacje o zdarzeniach inspekcji systemu plików DBFS, zobacz Zdarzenia systemu plików DBFS.

Szyfrowanie danych głównych systemu plików DBFS przy użyciu klucza zarządzanego przez klienta

Dane główne systemu DBFS można szyfrować przy użyciu klucza zarządzanego przez klienta. Zobacz Klucze zarządzane przez klienta dla głównego systemu plików DBFS

Ważne

Nie należy wyłączać Storage account key access dla konta magazynu kopii zapasowej katalogu głównego systemu plików DBFS. Wyłączenie tego ustawienia prowadzi do nieoczekiwanych zachowań i błędów.