分享方式:

設定 DBFS 根目錄的雙重加密

  • 文章

注意

這項功能只能在 進階版 方案中使用。

Databricks 文件系統 (DBFS) 是掛接至 Azure Databricks 工作區的分散式文件系統,可在 Azure Databricks 叢集上使用。 DBFS 會實作為 Azure Databricks 工作區受控資源群組中的記憶體帳戶。 DBFS 中的預設位置稱為 DBFS 根目錄

Azure 儲存體 會使用 256 位 AES 加密,在服務層級自動加密工作區記憶體帳戶中的所有數據,包括 DBFS 根記憶體。 這是可用的最強區塊加密之一,且符合 FIPS 140-2 規範。 如果您需要較高層級的保證數據安全,您也可以在 Azure 儲存體 基礎結構層級啟用 256 位 AES 加密。 啟用基礎結構加密時,會使用兩種不同的加密演算法和兩個不同的金鑰,將儲存體帳戶中的資料加密兩次,一次在服務層級,另一次在基礎結構層級。 Azure 儲存體 數據的雙重加密可防範其中一個加密演算法或密鑰遭到入侵的案例。 在此案例中,額外的加密層會繼續保護您的資料。

本文說明如何建立工作區,以新增工作區記憶體帳戶的基礎結構加密(因此為雙重加密)。 您必須在建立工作區時啟用基礎結構加密;您無法將基礎結構加密新增至現有的工作區。

需求

使用 Azure 入口網站 建立具有雙重加密的工作區

依照快速入門:使用 Azure 入口網站 Azure 入口網站 在 Azure Databricks 工作區上執行 Spark 作業的指示來建立工作區,並新增下列步驟:

  1. 在 PowerShell 中,執行下列命令,這可讓您在 Azure 入口網站 中啟用基礎結構加密。

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. 在 [ 建立 Azure Databricks 工作區 ] 頁面上(建立資源 > 分析 > Azure Databricks),按兩下 [ 進階 ] 索引卷標。

  3. [啟用基礎結構加密] 旁,選取 [ ]。

    在建立工作區時啟用雙重加密

  4. 當您完成工作區設定並建立工作區時,請確認已啟用基礎結構加密。

    在 Azure Databricks 工作區的資源頁面中,移至提要欄位功能表,然後選取 [設定 > 加密]。 確認已選取 [ 啟用基礎結構加密 ]。

    在建立工作區之後確認雙重加密

使用 PowerShell 建立具有雙重加密的工作區

遵循快速入門:使用 PowerShell 建立 Azure Databricks 工作區中的指示,將 選項-RequireInfrastructureEncryption新增至您在建立 Azure Databricks 工作區步驟中執行的命令:

例如,

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

建立工作區之後,請執行下列命令來確認基礎結構加密已啟用:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption 應該設定為 true

如需 Azure Databricks 工作區之 PowerShell Cmdlet 的詳細資訊,請參閱 Az.Databricks 模組參考

使用 Azure CLI 建立具有雙重加密的工作區

當您使用 Azure CLI 建立工作區時,請包含 選項 --require-infrastructure-encryption

例如,

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

建立工作區之後,請執行下列命令來確認基礎結構加密已啟用:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

requireInfrastructureEncryption欄位應該會出現在加密屬性中,並將 設定為 true

如需 Azure Databricks 工作區之 Azure CLI 命令的詳細資訊,請參閱 az databricks workspace 命令參考