Configurar criptografia dupla para raiz DBFS
Nota
Esta funcionalidade está disponível apenas no plano Premium.
O Sistema de Ficheiros do Databricks (DBFS) é um sistema de ficheiros distribuído montado numa área de trabalho do Azure Databricks e disponível em clusters Azure Databricks. O DBFS é implementado como uma conta de armazenamento no grupo de recursos geridos da sua área de trabalho do Azure Databricks. O local padrão no DBFS é conhecido como raiz DBFS.
O Armazenamento do Azure criptografa automaticamente todos os dados em uma conta de armazenamento, incluindo o armazenamento raiz DBFS, no nível de serviço usando criptografia AES de 256 bits. Esta é uma das cifras de bloco mais fortes disponíveis e é compatível com FIPS 140-2. Se você precisar de níveis mais altos de garantia de que seus dados estão seguros, também poderá habilitar a criptografia AES de 256 bits no nível da infraestrutura de Armazenamento do Azure. Quando a encriptação de infraestrutura é ativada, os dados numa conta de armazenamento são encriptados duas vezes: uma ao nível do serviço e outra ao nível da infraestrutura, com dois algoritmos de encriptação e duas chaves diferentes. A criptografia dupla dos dados do Armazenamento do Azure protege contra um cenário em que um dos algoritmos ou chaves de criptografia é comprometido. Nesse cenário, a camada adicional de criptografia continua a proteger seus dados.
Este artigo descreve como criar um espaço de trabalho que adiciona criptografia de infraestrutura (e, portanto, criptografia dupla) para o armazenamento raiz de um espaço de trabalho. Você deve habilitar a criptografia de infraestrutura na criação do espaço de trabalho; Não é possível adicionar criptografia de infraestrutura a um espaço de trabalho existente.
Requisitos
Criar um espaço de trabalho com criptografia dupla usando o portal do Azure
Siga as instruções para criar um espaço de trabalho usando o portal do Azure em Guia de início rápido: executar um trabalho do Spark no Azure Databricks Workspace usando o portal do Azure, adicionando estas etapas:
No PowerShell, execute os seguintes comandos, que permitirão habilitar a criptografia de infraestrutura no portal do Azure.
Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
Na página Criar um espaço de trabalho do Azure Databricks (Criar um recurso > Analytics > Azure Databricks), clique na guia Avançado.
Ao lado de Habilitar criptografia de infraestrutura, selecione Sim.
Quando terminar a configuração do espaço de trabalho e criá-lo, verifique se a criptografia de infraestrutura está habilitada.
Na página de recursos do espaço de trabalho do Azure Databricks, vá para o menu da barra lateral e selecione Criptografia > de configurações. Confirme se a opção Ativar criptografia de infraestrutura está selecionada.
Criar um espaço de trabalho com criptografia dupla usando o PowerShell
Siga as instruções em Guia de início rápido: criar um espaço de trabalho do Azure Databricks usando o PowerShell, adicionando a opção -RequireInfrastructureEncryption
ao comando executado na etapa Criar um espaço de trabalho do Azure Databricks:
Por exemplo,
New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption
Depois que o espaço de trabalho for criado, verifique se a criptografia de infraestrutura está habilitada executando:
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> | fl
RequireInfrastructureEncryption
deve ser definido como true
.
Para obter mais informações sobre cmdlets do PowerShell para espaços de trabalho do Azure Databricks, consulte a referência do módulo Az.Databricks.
Criar um espaço de trabalho com criptografia dupla usando a CLI do Azure
Ao criar um espaço de trabalho usando a CLI do Azure, inclua a opção --require-infrastructure-encryption
.
Por exemplo,
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption
Depois que o espaço de trabalho for criado, verifique se a criptografia de infraestrutura está habilitada executando:
az databricks workspace show --name <workspace-name> --resource-group <resource-group>
O requireInfrastructureEncryption
campo deve estar presente na propriedade encryption e definido como true
.
Para obter mais informações sobre os comandos da CLI do Azure para espaços de trabalho do Azure Databricks, consulte a referência de comando az databricks workspace.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários