Dubbele versleuteling configureren voor DBFS-hoofdmap

Artikel
03/01/2024

Opmerking

Deze functie is alleen beschikbaar in het Premium-abonnement.

Databricks File System (DBFS) is een gedistribueerd bestandssysteem dat is gekoppeld aan een Azure Databricks-werkruimte en beschikbaar is in Azure Databricks-clusters. DBFS wordt geïmplementeerd als een opslagaccount in de beheerde resourcegroep van uw Azure Databricks-werkruimte. De standaardopslaglocatie in DBFS wordt de DBFS-hoofdmap genoemd.

Azure Storage versleutelt automatisch alle gegevens in een opslagaccount, inclusief DBFS-hoofdopslag, op serviceniveau met behulp van 256-bits AES-versleuteling. Dit is een van de sterkste blokcoderingen die beschikbaar zijn en voldoet aan FIPS 140-2. Als u een hogere mate van zekerheid nodig hebt dat uw gegevens veilig zijn, kunt u ook 256-bits AES-versleuteling inschakelen op het niveau van de Azure Storage-infrastructuur. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld, één keer op serviceniveau en eenmaal op infrastructuurniveau, met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Dubbele versleuteling van Azure Storage-gegevens beschermt tegen een scenario waarbij een van de versleutelingsalgoritmen of sleutels is aangetast. In dit scenario blijft de extra versleutelingslaag uw gegevens beveiligen.

In dit artikel wordt beschreven hoe u een werkruimte maakt die infrastructuurversleuteling (en dus dubbele versleuteling) toevoegt voor de hoofdopslag van een werkruimte. U moet infrastructuurversleuteling inschakelen bij het maken van de werkruimte; u kunt geen infrastructuurversleuteling toevoegen aan een bestaande werkruimte.

Eisen

Premium-abonnement

Een werkruimte met dubbele versleuteling maken met behulp van de Azure Portal

Volg de instructies voor het maken van een werkruimte met behulp van de Azure Portal in Quickstart: Een Spark-taak uitvoeren in Azure Databricks Workspace met behulp van de Azure Portal en voeg de volgende stappen toe:

Voer in PowerShell de volgende opdrachten uit. Hiermee kunt u infrastructuurversleuteling inschakelen in de Azure Portal.

Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Klik op de pagina Een Azure Databricks-werkruimte maken (Een resource > maken Azure > Databricks) op het tabblad Geavanceerd .
Selecteer Ja naast Infrastructuurversleuteling inschakelen.
Wanneer u klaar bent met de configuratie van uw werkruimte en de werkruimte hebt gemaakt, controleert u of infrastructuurversleuteling is ingeschakeld.

Ga op de resourcepagina voor de Azure Databricks-werkruimte naar het zijbalkmenu en selecteer Instellingen > Versleuteling. Controleer of Infrastructuurversleuteling inschakelen is geselecteerd.

Een werkruimte maken met dubbele versleuteling met behulp van PowerShell

Volg de instructies in Quickstart: Een Azure Databricks-werkruimte maken met behulp van PowerShell en voeg de optie -RequireInfrastructureEncryption toe aan de opdracht die u uitvoert in de stap Een Azure Databricks-werkruimte maken:

Bijvoorbeeld:

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Nadat uw werkruimte is gemaakt, controleert u of infrastructuurversleuteling is ingeschakeld door het volgende uit te voeren:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption moet worden ingesteld op true.

Zie de naslaginformatie over de Az.Databricks-module voor meer informatie over PowerShell-cmdlets voor Azure Databricks-werkruimten.

Een werkruimte maken met dubbele versleuteling met behulp van de Azure CLI

Wanneer u een werkruimte maakt met behulp van de Azure CLI, neemt u de optie op --require-infrastructure-encryption.