Configurar a encriptação dupla para a raiz do DBFS
Nota
Esta funcionalidade só está disponível no plano Premium.
O Sistema de Ficheiros do Databricks (DBFS) é um sistema de ficheiros distribuído montado numa área de trabalho do Azure Databricks e disponível em clusters do Azure Databricks. O DBFS é implementado como uma conta de armazenamento no grupo de recursos geridos da área de trabalho do Azure Databricks. A localização de armazenamento predefinida no DBFS é conhecida como a raiz do DBFS.
O Armazenamento do Azure encripta automaticamente todos os dados numa conta de armazenamento , incluindo o armazenamento de raiz do DBFS, ao nível do serviço com a encriptação AES de 256 bits. Esta é uma das cifras de bloco mais fortes disponíveis e está em conformidade com FIPS 140-2. Se precisar de níveis mais elevados de garantia de que os seus dados são seguros, também pode ativar a encriptação AES de 256 bits ao nível da infraestrutura de Armazenamento do Azure. Quando a encriptação de infraestrutura está ativada, os dados numa conta de armazenamento são encriptados duas vezes, uma ao nível do serviço e outra ao nível da infraestrutura, com dois algoritmos de encriptação diferentes e duas chaves diferentes. A encriptação dupla de dados do Armazenamento do Azure protege contra um cenário em que um dos algoritmos de encriptação ou chaves é comprometido. Neste cenário, a camada adicional de encriptação continua a proteger os seus dados.
Este artigo descreve como criar uma área de trabalho que adiciona encriptação de infraestrutura (e, portanto, encriptação dupla) para o armazenamento de raiz de uma área de trabalho. Tem de ativar a encriptação da infraestrutura na criação da área de trabalho; não pode adicionar encriptação de infraestrutura a uma área de trabalho existente.
Requisitos
Criar uma área de trabalho com encriptação dupla com o portal do Azure
Siga as instruções para criar uma área de trabalho com o portal do Azure no Início Rápido: Execute uma tarefa do Spark na Área de Trabalho do Azure Databricks com o portal do Azure, adicionando estes passos:
No PowerShell, execute os seguintes comandos, o que lhe permitirá ativar a encriptação da infraestrutura no portal do Azure.
Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryptionNa página Criar uma área de trabalho do Azure Databricks (Criar um recurso > do > Azure Databricks), clique no separador Avançadas .
Junto a Ativar Encriptação de Infraestrutura, selecione Sim.
Quando tiver concluído a configuração da área de trabalho e criado a área de trabalho, verifique se a encriptação da infraestrutura está ativada.
Na página de recursos da área de trabalho do Azure Databricks, aceda ao menu da barra lateral e selecione Encriptação de Definições>. Confirme que a opção Ativar Encriptação de Infraestrutura está selecionada.
Criar uma área de trabalho com encriptação dupla com o PowerShell
Siga as instruções em Início Rápido: Criar uma área de trabalho do Azure Databricks com o PowerShell, adicionando a opção -RequireInfrastructureEncryption ao comando que executa no passo Criar uma área de trabalho do Azure Databricks :
Por exemplo,
New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption
Após a criação da área de trabalho, verifique se a encriptação da infraestrutura está ativada ao executar:
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> | fl
RequireInfrastructureEncryption deve ser definido como true.
Para obter mais informações sobre os cmdlets do PowerShell para áreas de trabalho do Azure Databricks, veja a referência do módulo Az.Databricks.
Criar uma área de trabalho com encriptação dupla com a CLI do Azure
Quando criar uma área de trabalho com a CLI do Azure, inclua a opção --require-infrastructure-encryption.
Por exemplo,
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption
Após a criação da área de trabalho, verifique se a encriptação da infraestrutura está ativada ao executar:
az databricks workspace show --name <workspace-name> --resource-group <resource-group>
O requireInfrastructureEncryption campo deve estar presente na propriedade de encriptação e definido como true.
Para obter mais informações sobre os comandos da CLI do Azure para áreas de trabalho do Azure Databricks, veja az databricks workspace command reference (Referência de comandos da área de trabalho do Az databricks).