Настройка двойного шифрования для корневого каталога DBFS
Примечание
Эта функция доступна только в плане "Премиум".
Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализована как учетная запись хранения в управляемой группе ресурсов рабочей области Azure Databricks. Расположение хранилища по умолчанию в DBFS называется корневым каталогом DBFS.
Служба хранилища Azure автоматически шифрует все данные в учетной записи хранения, включая корневое хранилище DBFS, на уровне службы с помощью 256-разрядного шифрования AES. Это один из самых надежных блочных шифров, совместимых с FIPS 140-2. Если требуется более высокий уровень гарантии безопасности данных, можно также включить 256-разрядное шифрование AES на уровне инфраструктуры службы хранилища Azure. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды, один раз на уровне службы и один раз на уровне инфраструктуры с двумя разными алгоритмами шифрования и двумя разными ключами. Двойное шифрование данных службы хранилища Azure защищает от сценария, в котором один из алгоритмов шифрования или ключей скомпрометирован. В этом сценарии дополнительный уровень шифрования продолжает защищать ваши данные.
В этой статье описывается, как создать рабочую область, которая добавляет шифрование инфраструктуры (и, следовательно, двойное шифрование) для корневого хранилища рабочей области. Необходимо включить шифрование инфраструктуры при создании рабочей области; Невозможно добавить шифрование инфраструктуры в существующую рабочую область.
Требования
Создание рабочей области с двойным шифрованием с помощью портал Azure
Следуйте инструкциям по созданию рабочей области с помощью портал Azure из статьи Краткое руководство. Запуск задания Spark в рабочей области Azure Databricks с помощью портал Azure, добавив следующие действия:
В PowerShell выполните следующие команды, которые позволят включить шифрование инфраструктуры в портал Azure.
Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
На странице Создание рабочей области Azure Databricks (Создание ресурса > Аналитика > Azure Databricks) перейдите на вкладку Дополнительно .
Рядом с параметром Включить шифрование инфраструктуры выберите Да.
Завершив настройку рабочей области и создав рабочую область, убедитесь, что шифрование инфраструктуры включено.
На странице ресурсов рабочей области Azure Databricks перейдите в меню боковой панели и выберите Параметры > шифрования. Убедитесь, что выбран параметр Включить шифрование инфраструктуры .
Создание рабочей области с двойным шифрованием с помощью PowerShell
Следуйте инструкциям из статьи Краткое руководство. Создание рабочей области Azure Databricks с помощью PowerShell, добавив параметр -RequireInfrastructureEncryption
в команду, выполняемую на шаге Создание рабочей области Azure Databricks :
Например
New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption
После создания рабочей области убедитесь, что шифрование инфраструктуры включено, выполнив команду:
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> | fl
RequireInfrastructureEncryption
Должно быть задано значение true
.
Дополнительные сведения о командлетах PowerShell для рабочих областей Azure Databricks см. в справочнике по модулю Az.Databricks.
Создание рабочей области с двойным шифрованием с помощью Azure CLI
При создании рабочей области с помощью Azure CLI включите параметр --require-infrastructure-encryption
.
Например
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption
После создания рабочей области убедитесь, что шифрование инфраструктуры включено, выполнив команду:
az databricks workspace show --name <workspace-name> --resource-group <resource-group>
Поле requireInfrastructureEncryption
должно присутствовать в свойстве шифрования и иметь значение true
.
Дополнительные сведения о командах Azure CLI для рабочих областей Azure Databricks см. в справочнике по командам az databricks workspace.