Dubbele versleuteling configureren voor DBFS-hoofdmap
Opmerking
Deze functie is alleen beschikbaar in het Premium-abonnement.
Databricks File System (DBFS) is een gedistribueerd bestandssysteem dat is gekoppeld aan een Azure Databricks-werkruimte en beschikbaar is in Azure Databricks-clusters. DBFS wordt geïmplementeerd als een opslagaccount in de beheerde resourcegroep van uw Azure Databricks-werkruimte. De standaardopslaglocatie in DBFS wordt de DBFS-hoofdmap genoemd.
Azure Storage versleutelt automatisch alle gegevens in een opslagaccount, inclusief DBFS-hoofdopslag, op serviceniveau met behulp van 256-bits AES-versleuteling. Dit is een van de sterkste blokcoderingen die beschikbaar zijn en voldoet aan FIPS 140-2. Als u een hogere mate van zekerheid nodig hebt dat uw gegevens veilig zijn, kunt u ook 256-bits AES-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld, één keer op serviceniveau en eenmaal op infrastructuurniveau, met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario waarbij een van de versleutelingsalgoritmen of sleutels is aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.
In dit artikel wordt beschreven hoe u een werkruimte maakt die infrastructuurversleuteling (en dus dubbele versleuteling) toevoegt voor de hoofdopslag van een werkruimte. U moet infrastructuurversleuteling inschakelen bij het maken van de werkruimte; u kunt geen infrastructuurversleuteling toevoegen aan een bestaande werkruimte.
Eisen
Een werkruimte met dubbele versleuteling maken met behulp van de Azure Portal
Volg de instructies voor het maken van een werkruimte met behulp van de Azure Portal in Quickstart: Een Spark-taak uitvoeren in Azure Databricks Workspace met behulp van de Azure Portal en voeg de volgende stappen toe:
Voer in PowerShell de volgende opdrachten uit. Hiermee kunt u infrastructuurversleuteling inschakelen in de Azure Portal.
Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
Klik op de pagina Een Azure Databricks-werkruimte maken (Een resource > maken Azure > Databricks) op het tabblad Geavanceerd .
Selecteer Ja naast Infrastructuurversleuteling inschakelen.
Wanneer u klaar bent met de configuratie van uw werkruimte en de werkruimte hebt gemaakt, controleert u of infrastructuurversleuteling is ingeschakeld.
Ga op de resourcepagina voor de Azure Databricks-werkruimte naar het zijbalkmenu en selecteer Instellingen > Versleuteling. Controleer of Infrastructuurversleuteling inschakelen is geselecteerd.
Een werkruimte maken met dubbele versleuteling met behulp van PowerShell
Volg de instructies in Quickstart: Een Azure Databricks-werkruimte maken met behulp van PowerShell en voeg de optie -RequireInfrastructureEncryption
toe aan de opdracht die u uitvoert in de stap Een Azure Databricks-werkruimte maken:
Bijvoorbeeld:
New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption
Nadat uw werkruimte is gemaakt, controleert u of infrastructuurversleuteling is ingeschakeld door het volgende uit te voeren:
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> | fl
RequireInfrastructureEncryption
moet worden ingesteld op true
.
Een werkruimte maken met dubbele versleuteling met behulp van de Azure CLI
Wanneer u een werkruimte maakt met behulp van de Azure CLI, neemt u de optie op --require-infrastructure-encryption
.
Bijvoorbeeld:
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption
Nadat uw werkruimte is gemaakt, controleert u of infrastructuurversleuteling is ingeschakeld door het volgende uit te voeren:
az databricks workspace show --name <workspace-name> --resource-group <resource-group>
Het requireInfrastructureEncryption
veld moet aanwezig zijn in de versleutelingseigenschap en moet zijn ingesteld op true
.
Zie de opdrachtreferentie az databricks workspace voor meer informatie over Azure CLI-opdrachten voor Azure Databricks-werkruimten.