Настройка двойного шифрования для корневого каталога DBFS

Статья
03/01/2024

Примечание

Эта функция доступна только в плане "Премиум".

Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализована как учетная запись хранения в управляемой группе ресурсов рабочей области Azure Databricks. Расположение хранилища по умолчанию в DBFS называется корневым каталогом DBFS.

Служба хранилища Azure автоматически шифрует все данные в учетной записи хранения, включая корневое хранилище DBFS, на уровне службы с помощью 256-разрядного шифрования AES. Это один из самых надежных блочных шифров, совместимых с FIPS 140-2. Если требуется более высокий уровень гарантии безопасности данных, можно также включить 256-разрядное шифрование AES на уровне инфраструктуры службы хранилища Azure. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды, один раз на уровне службы и один раз на уровне инфраструктуры с двумя разными алгоритмами шифрования и двумя разными ключами. Двойное шифрование данных службы хранилища Azure защищает от сценария, в котором один из алгоритмов шифрования или ключей скомпрометирован. В этом сценарии дополнительный уровень шифрования продолжает защищать ваши данные.

В этой статье описывается, как создать рабочую область, которая добавляет шифрование инфраструктуры (и, следовательно, двойное шифрование) для корневого хранилища рабочей области. Необходимо включить шифрование инфраструктуры при создании рабочей области; Невозможно добавить шифрование инфраструктуры в существующую рабочую область.

Требования

План "Премиум"

Создание рабочей области с двойным шифрованием с помощью портал Azure

Следуйте инструкциям по созданию рабочей области с помощью портал Azure из статьи Краткое руководство. Запуск задания Spark в рабочей области Azure Databricks с помощью портал Azure, добавив следующие действия:

В PowerShell выполните следующие команды, которые позволят включить шифрование инфраструктуры в портал Azure.

Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

На странице Создание рабочей области Azure Databricks (Создание ресурса > Аналитика > Azure Databricks) перейдите на вкладку Дополнительно .
Рядом с параметром Включить шифрование инфраструктуры выберите Да.
Завершив настройку рабочей области и создав рабочую область, убедитесь, что шифрование инфраструктуры включено.

На странице ресурсов рабочей области Azure Databricks перейдите в меню боковой панели и выберите Параметры > шифрования. Убедитесь, что выбран параметр Включить шифрование инфраструктуры .

Создание рабочей области с двойным шифрованием с помощью PowerShell

Следуйте инструкциям из статьи Краткое руководство. Создание рабочей области Azure Databricks с помощью PowerShell, добавив параметр -RequireInfrastructureEncryption в команду, выполняемую на шаге Создание рабочей области Azure Databricks :

Например

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

После создания рабочей области убедитесь, что шифрование инфраструктуры включено, выполнив команду:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption Должно быть задано значение true.

Дополнительные сведения о командлетах PowerShell для рабочих областей Azure Databricks см. в справочнике по модулю Az.Databricks.

Создание рабочей области с двойным шифрованием с помощью Azure CLI

При создании рабочей области с помощью Azure CLI включите параметр --require-infrastructure-encryption.