此頁面說明如何在 Azure Databricks 工作區上設定增強的安全性與合規性設定。
這很重要
- 啟用合規性安全性配置檔或將合規性標準新增至工作區的目的是永久變更。
- 如果已處理受管制的數據,則您無法從工作區中移除合規性配置檔或個別標準。 若要還原,您必須刪除工作區,並建立沒有配置檔或具有不同標準的新工作區。 如需協助,請連絡 Azure Databricks 支援。
需求
- 您的 Azure Databricks 工作區位於進階版定價層。
- 您的 Databricks 帳戶必須包含增強式安全性與合規性附加元件。
- 請確定永遠不會在客戶定義的輸入字段中輸入敏感性資訊,例如工作區名稱、叢集名稱、標記和作業名稱。
合規性安全性設定檔需求
如果工作區設定為限制內部網路對外存取,您必須將網路設定為允許連接埠 2443 的流量。 請參閱<在 Azure 虛擬網路 (VNet 插入) 中部署 Azure Databricks>。
不支援第 2 代 VM 和 Arm64 型虛擬機。 啟用合規性安全性設定檔時,Azure Databricks 不允許使用這些執行個體類型啟動計算。
您必須使用下列 VM 實體型態:
一般用途: Dv5 和 Dsv5 系列, Ddv5 和 Ddsv5 系列、Dlsv5 和 Dldsv5 系列、Dasv5 和 Dadsv5 系列、Dasv6 和 Dadsv6 系列、Dalsv6 和 Daldsv6 系列、Dsv6 系列、Dplsv6 和 Dpldsv6 系列、Dpsv6 和 Dpdsv6 系列
需要大量記憶體的工作負載: Ev5 和 Esv5 系列、Edv5 和 Edsv5 系列、Easv5 和 Eadsv5 系列、Easv6 和 Eadsv6 系列、Epsv6 和 Epdsv6 系列
計算優化: Falsv6系列、Famsv6系列、Fasv6系列
備註
在已啟用合規性安全性設定檔的工作區上,預設會停用 Databricks Assistant。 工作區管理員可以遵循帳戶的指示加以啟用 :停用或啟用 Azure AI 支援的 AI 功能。
設定所有新工作區的帳戶層級預設值
帳戶管理員可以設定安全性配置檔的設定(符合合規性標準),或帳戶層級的增強式安全性監視,以套用至所有新的工作區。 當您將合規性安全性配置檔啟用為新工作區的預設值時,也會針對新的工作區啟用增強式安全性監視和自動叢集更新。
作為帳戶管理員,請前往帳戶主控台。
在側邊欄中,按下 [設定]。
按兩下 [ 安全性與合規性] 索引標籤。
在提要欄位中,按兩下 [增強的安全性與合規性設定]。
若要啟用合規性安全性配置檔,請按兩下 [合規性安全性設定檔] 旁的 [ 設定]。
在 [ 新工作區的合規性安全性配置檔 ] 對話框中,選取 [ 已啟用],選取一個或合規性標準,或選取 [無 ],然後按兩下 [ 儲存]。
若要啟用增強式安全性監視,請選取 [ 增強新工作區的安全性監視] 複選框。
在工作區上啟用增強的安全性與合規性功能
您可以使用 Azure 入口網站、Azure CLI、Powershell、ARM 範本或 Terraform,建立具有增強安全性與合規性功能的工作區。
使用 Azure 入口網站
在 Azure 入口網站中,單擊 設定 > 安全性與合規性,對現有的 Azure Databricks 工作區,或在 Azure Databricks 工作區建立頁面上進行操作。
若要開啟合規性安全性設定檔,請選擇 [啟用合規性安全性設定檔] 旁的複選框,。 在下拉式清單中,選取一或多個合規性標準,或選取 [無 ]。 下拉式清單會列出工作區區域中可用的合規性標準。
如果您啟用合規性安全性設定檔或新增合規性標準,這些選取項目會永久用於該工作區。
若要啟用增強式安全性監視,請選取複選框 啟用增強式安全性監視。
若要啟用自動叢集更新,請選取 [啟用自動叢集更新] 複選框。
若要設定維護期間及其頻率,請參閱 自動叢集更新
使用 Azure CLI
您可以使用 Azure CLI 建立具有增強安全性與合規性功能的工作區。 可能的合規性標準包括:HIPAA、、、PCI_DSSHITRUST、IRAP_PROTECTED、UK_CYBER_ESSENTIALS_PLUS、 CANADA_PROTECTED_B或 NONE。 您可以選取多個合規性標準。 例如:
az databricks workspace create --resource-group MyResourceGroup --name MyWorkspace --location westus --sku premium --enable-compliance-security-profile --compliance-standards='["HIPAA"]' --enable-automatic-cluster-update --enable-enhanced-security-monitoring
使用 Powershell
您可以使用Powershell建立具有增強安全性與合規性功能的工作區。 可能的合規性標準包括:HIPAA、、、PCI_DSSHITRUST、IRAP_PROTECTED、UK_CYBER_ESSENTIALS_PLUS、 CANADA_PROTECTED_B或 NONE。 您可以選取多個合規性標準。 例如:
New-AzDatabricksWorkspace -Name MyWorkspace -ResourceGroupName MyResourceGroup -Location westus -Sku "Premium" -EnhancedSecurityMonitoring 'Enabled' -AutomaticClusterUpdate 'Enabled' -EnhancedSecurityCompliance 'Enabled' -ComplianceStandard @("HIPAA","PCI_DSS")
使用ARM範本
您可以使用 Databricks 提供的 ARM 範本來設定增強的安全性與合規性附加元件功能。 其中包含您可以設定為 Enabled 或 Disabled的其他參數。 如果您想要將它們新增至現有的範本以更新工作區,您可以這麼做。 您可以獨立設定功能,除非另有說明。
-
complianceSecurityProfile:啟用合規性安全性設定檔。 啟用後,此功能會在工作區上永久啟用。 -
complianceStandards:設定合規性標準陣列,以搭配合規性安全性設定檔使用。- 如果
complianceSecurityProfile設定為Disabled,則傳遞空陣列。 - 如果
complianceSecurityProfile設定為Enabled,您必須傳遞一個或多個字串的陣列,以指定您希望工作區滿足的合規標準(如果有的話)。 可能的選取項目包括HIPAA、PCI_DSS、HITRUST、IRAP_PROTECTED、UK_CYBER_ESSENTIALS_PLUS、CANADA_PROTECTED_B或NONE。 如果您只針對合規性安全性配置檔的安全性優點使用,但不要處理任何受管制的資料,請新增單一陣列元素NONE。
- 如果
-
enhancedSecurityMonitoring— 啟用增強的安全性監視。 如果已啟用合規性安全性配置檔,您必須在範本中明確將此功能設定為Enabled。 -
automaticClusterUpdate— 啟用自動叢集更新。 如果已啟用合規性安全性配置檔,您必須在範本中明確將此功能設定為Enabled。 若要設定維護期間及其頻率,請參閱 自動叢集更新。
若要使用其中一或多個功能來更新工作區,請遵循與使用範本建立新工作區相同的指示來部署自定義範本。 不過,請檢查您是否使用原始範本,然後將提供的範例範本中的欄位複製到現有的工作區範本。
含增強式安全性與合規性特徵的工作區範本
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"disablePublicIp": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether to deploy Azure Databricks workspace with secure cluster connectivity (No Public IP) enabled."
}
},
"workspaceName": {
"type": "string",
"metadata": {
"description": "The name of the Azure Databricks workspace to create."
}
},
"pricingTier": {
"type": "string",
"defaultValue": "premium",
"allowedValues": ["standard", "premium"],
"metadata": {
"description": "The pricing tier of workspace."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
},
"automaticClusterUpdate": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable automatic cluster update"
}
},
"enhancedSecurityMonitoring": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable enhanced security monitoring"
}
},
"complianceSecurityProfile": {
"type": "string",
"defaultValue": "Disabled",
"allowedValues": ["Disabled", "Enabled"],
"metadata": {
"description": "Enable/Disable the Compliance Security Profile"
}
},
"complianceStandards": {
"type": "array",
"defaultValue": [],
"allowedValues": [
[],
["NONE"],
["HIPAA"],
["PCI_DSS"],
["HITRUST"],
["IRAP_PROTECTED"],
["UK_CYBER_ESSENTIALS_PLUS"],
["CANADA_PROTECTED_B"]
],
"metadata": {
"description": "Specify the desired compliance standards for your compliance security profile"
}
}
},
"variables": {
"managedResourceGroupName": "[format('databricks-rg-{0}-{1}', parameters('workspaceName'), uniqueString(parameters('workspaceName'), resourceGroup().id))]",
"trimmedMRGName": "[substring(variables('managedResourceGroupName'), 0, min(length(variables('managedResourceGroupName')), 90))]",
"managedResourceGroupId": "[format('{0}/resourceGroups/{1}', subscription().id, variables('trimmedMRGName'))]"
},
"resources": [
{
"type": "Microsoft.Databricks/workspaces",
"apiVersion": "2023-09-15-preview",
"name": "[parameters('workspaceName')]",
"location": "[parameters('location')]",
"sku": {
"name": "[parameters('pricingTier')]"
},
"properties": {
"managedResourceGroupId": "[variables('managedResourceGroupId')]",
"parameters": {
"enableNoPublicIp": {
"value": "[parameters('disablePublicIp')]"
}
},
"enhancedSecurityCompliance": {
"automaticClusterUpdate": {
"value": "[parameters('automaticClusterUpdate')]"
},
"complianceSecurityProfile": {
"value": "[parameters('complianceSecurityProfile')]",
"complianceStandards": "[parameters('complianceStandards')]"
},
"enhancedSecurityMonitoring": {
"value": "[parameters('enhancedSecurityMonitoring')]"
}
}
}
}
],
"outputs": {
"workspace": {
"type": "object",
"value": "[reference(resourceId('Microsoft.Databricks/workspaces', parameters('workspaceName')), '2023-09-15-preview', 'full')]"
}
}
}
使用 Terraform
您也可以使用適用於 Databricks 的 azurerm Terraform 外掛程式,在 Azure Databricks 工作區上啟用增強的安全性與合規性。 如需 azurerm Terraform 外掛程式的詳細資訊,請參閱 azurerm_databricks_workspace。
例如,若要建立已啟用合規性控件的 Azure Databricks 工作區,請使用下列專案:
resource "azurerm_databricks_workspace" "this" {
name = "${local.prefix}-workspace"
resource_group_name = azurerm_resource_group.this.name
location = azurerm_resource_group.this.location
sku = "premium"
managed_resource_group_name = "${local.prefix}-workspace-rg"
tags = local.tags
enhanced_security_compliance {
automatic_cluster_update_enabled = true
compliance_security_profile_enabled = true
compliance_security_profile_standards = ["HIPAA", "PCI_DSS", "HITRUST", "IRAP_PROTECTED", "UK_CYBER_ESSENTIALS_PLUS", "CANADA_PROTECTED_B", "NONE"]
enhanced_security_monitoring_enabled = true
}
}
確認工作區已啟用合規性安全性設定檔
您可以在帳戶控制台的工作區頁面的 [安全性與合規性] 標籤中,確認工作區是否使用合規性安全設定檔。
工作區的使用者介面中也顯示了盾牌標誌。 盾牌標誌會出現在頁面右上方,工作區名稱右邊。 按兩下工作區名稱,以查看您有權存取的工作區清單。 啟用合規性安全性配置檔的工作區具有防護圖示。
從工作區移除盾牌標誌
如果已啟用合規性安全性設定檔的工作區缺少盾牌圖示,請連絡您的 Azure Databricks 帳戶團隊。