Recomendações para trabalhar com a raiz DBFS

O Azure Databricks usa o diretório raiz DBFS como um local padrão para algumas ações do espaço de trabalho. O Databricks recomenda não armazenar quaisquer dados de produção ou informações confidenciais na raiz DBFS. Este artigo se concentra em recomendações para evitar a exposição acidental de dados confidenciais na raiz DBFS.

Nota

O Azure Databricks configura um local de armazenamento privado separado para dados persistentes e configurações no armazenamento em nuvem de propriedade do cliente, conhecido como DBFS interno. Este local não está exposto aos utilizadores.

Importante

A partir de 6 de março de 2023, os novos espaços de trabalho do Azure Databricks usam contas de armazenamento do Azure Data Lake Storage Gen2 para a raiz DBFS. Os espaços de trabalho provisionados anteriormente usam o Armazenamento de Blobs.

Instruir os usuários a não armazenar dados na raiz do DBFS

Como a raiz DBFS é acessível a todos os usuários em um espaço de trabalho, todos os usuários podem acessar quaisquer dados armazenados aqui. É importante instruir os usuários a evitar usar esse local para armazenar dados confidenciais. O local padrão para tabelas gerenciadas no metastore do Hive no Azure Databricks é a raiz DBFS; para impedir que os usuários finais que criam tabelas gerenciadas gravem na raiz do DBFS, declare um local no armazenamento externo ao criar bancos de dados no metastore do Hive.

As tabelas gerenciadas pelo Unity Catalog usam um local de armazenamento seguro por padrão. O Databricks recomenda o uso do Unity Catalog para tabelas gerenciadas.

Usar o log de auditoria para monitorar a atividade

Nota

Para obter detalhes sobre eventos de auditoria DBFS, consulte Eventos DBFS.

Encripte os dados de raiz do DBFS com uma chave gerida pelo cliente

Você pode criptografar dados raiz DBFS com uma chave gerenciada pelo cliente. Consulte Chaves gerenciadas pelo cliente para raiz DBFS