Поделиться через

Настройка двойного шифрования для корня DBFS

  • Статья

Примечание.

Эта функция доступна только в плане Premium.

Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализуется как учетная запись хранения в управляемой группе ресурсов рабочей области Azure Databricks. Расположение по умолчанию в DBFS называется корнем DBFS.

служба хранилища Azure автоматически шифрует все данные в учетной записи хранения рабочей области, включая корневое хранилище DBFS, на уровне обслуживания с помощью 256-разрядного шифрования AES. Это один из самых надежных блочных шифров из всех имеющихся, и он совместим с FIPS 140-2. Если вам требуется более высокий уровень защиты данных, могут также включить 256-разрядное шифрование AES на уровне инфраструктуры службы хранилища Azure. Если включено шифрование инфраструктуры, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Двойное шифрование данных службы хранилища Azure позволяет избежать ситуации, когда один из алгоритмов шифрования или ключей может быть скомпрометирован. В этом сценарии дополнительный уровень шифрования сохраняется для защиты данных.

В этой статье описывается, как создать рабочую область, которая добавляет шифрование инфраструктуры (и, следовательно, двойное шифрование) для учетной записи хранения рабочей области. Необходимо включить шифрование инфраструктуры при создании рабочей области; шифрование инфраструктуры невозможно добавить в существующую рабочую область.

Требования

Создание рабочей области с двойным шифрованием с помощью портала Azure

Следуйте инструкциям по созданию рабочей области с помощью портала Azure, приведенным в разделе Краткое руководство: запуск задания Spark в рабочей области Azure Databricks с помощью портала Azure, а также добавьте следующие действия:

  1. В PowerShell выполните следующие команды, которые позволят включить шифрование инфраструктуры на портале Azure.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. На странице Создание рабочей области Azure Databricks (Создание ресурса > Аналитика > Azure Databricks ) перейдите на вкладку Дополнительно.

  3. Рядом с параметром Включить шифрование инфраструктуры выберите значение Да.

    Активация двойного шифрования при создании рабочей области

  4. Завершив настройку рабочей области и создав рабочую область, убедитесь, что шифрование инфраструктуры включено.

    На странице ресурсов для рабочей области Azure Databricks перейдите в меню боковой панели и выберите Параметры > Шифрование. Убедитесь, что параметр Включить шифрование инфраструктуры активен.

    Проверка двойного шифрования после создания рабочей области

Создание рабочей области с двойным шифрованием с помощью PowerShell

Следуйте инструкциям в кратком руководстве по созданию рабочей области Azure Databricks с помощью PowerShell и добавьте параметр -RequireInfrastructureEncryption к команде, выполняемой на шаге Создание рабочей области Azure Databricks:

Например,

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

После создания рабочей области убедитесь, что шифрование инфраструктуры включено, выполнив следующую команду:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

Для RequireInfrastructureEncryption необходимо задать true.

Дополнительные сведения о командлетах PowerShell для рабочих областей Azure Databricks см. в Справочнике по модулю Az.Databricks.

Создание рабочей области с двойным шифрованием с помощью интерфейса командной строки Azure

При создании рабочей области с помощью интерфейса командной строки Azure используйте параметр --require-infrastructure-encryption.

Например,

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

После создания рабочей области убедитесь, что шифрование инфраструктуры включено, выполнив следующую команду:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

В свойстве шифрования должно быть поле requireInfrastructureEncryption со значением true.

Дополнительные сведения о командах Azure CLI для рабочих областей Azure Databricks см. в справочнике по командам в рабочих областях az databricks.