使用 DBFS 根的建議

Azure Databricks 會使用 DBFS 根目錄作為 某些工作區動作的預設位置 。 Databricks 建議將任何生產數據或敏感性資訊儲存在 DBFS 根目錄中。 本文著重於建議，以避免在 DBFS 根目錄意外暴露敏感數據。

注意

Azure Databricks 會設定個別的私人記憶體位置，以保存客戶擁有的雲端記憶體中的數據和組態，稱為內部 DBFS。 此位置不會公開給使用者。

重要

從 2023 年 3 月 6 日起，新的 Azure Databricks 工作區會針對 DBFS 根目錄使用 Azure Data Lake Storage Gen2 儲存器帳戶。 先前布建的工作區會使用 Blob 記憶體。

教育使用者不要將數據儲存在 DBFS 根目錄

因為 DBFS 根目錄可供工作區中的所有使用者存取，因此所有使用者都可以存取這裡儲存的任何數據。 請務必指示使用者避免使用此位置來儲存敏感數據。 Azure Databricks 上 Hive 中繼存放區中受控數據表的預設位置是 DBFS 根目錄;若要防止建立受控數據表的使用者寫入 DBFS 根目錄，請在 Hive 中繼存放區中建立資料庫時，在外部記憶體上宣告位置。

依預設，Unity 目錄受控數據表會使用安全的儲存位置。 Databricks 建議針對受控數據表使用 Unity 目錄。

使用稽核記錄來監視活動

注意

如需 DBFS 稽核事件的詳細資訊，請參閱 DBFS 事件。

使用客戶管理的金鑰加密 DBFS 根數據

您可以使用客戶管理的金鑰來加密 DBFS 根數據。 請參閱 DBFS 根目錄的客戶自控金鑰

重要

請勿針對支援 DBFS 根目錄的記憶體帳戶停用 Storage account key access 。 停用此設定會導致非預期的行為和錯誤。