Konfigurera dubbel kryptering för DBFS-rot

Artikel
03/01/2024

Observera

Den här funktionen är endast tillgänglig i Premium-planen.

Databricks File System (DBFS) är ett distribuerat filsystem monterat på en Azure Databricks-arbetsyta och tillgängligt i Azure Databricks-kluster. DBFS implementeras som ett lagringskonto i azure Databricks-arbetsytans hanterade resursgrupp. Standardlagringsplatsen i DBFS kallas DBFS-roten.

Azure Storage krypterar automatiskt alla data i ett lagringskonto, inklusive DBFS-rotlagring, på tjänstnivå med hjälp av 256-bitars AES-kryptering. Detta är ett av de starkaste block chiffer som är tillgängliga och är FIPS 140-2-kompatibelt. Om du behöver högre säkerhetsnivåer för att dina data är säkra kan du även aktivera 256-bitars AES-kryptering på Azure Storage-infrastrukturnivå. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med två olika krypteringsalgoritmer och två olika nycklar. Dubbel kryptering av Azure Storage-data skyddar mot ett scenario där en av krypteringsalgoritmerna eller nycklarna komprometteras. I det här scenariot fortsätter det ytterligare krypteringslagret att skydda dina data.

Den här artikeln beskriver hur du skapar en arbetsyta som lägger till infrastrukturkryptering (och därmed dubbelkryptering) för en arbetsytas rotlagring. Du måste aktivera infrastrukturkryptering när arbetsytan skapas. du kan inte lägga till infrastrukturkryptering till en befintlig arbetsyta.

Krav

Premium-plan

Skapa en arbetsyta med dubbel kryptering med hjälp av Azure Portal

Följ anvisningarna för att skapa en arbetsyta med hjälp av Azure Portal i Snabbstart: Kör ett Spark-jobb på Azure Databricks-arbetsytan med hjälp av Azure Portal och lägg till följande steg:

Kör följande kommandon i PowerShell, så att du kan aktivera infrastrukturkryptering i Azure Portal.

Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

På sidan Skapa en Azure Databricks-arbetsyta (Skapa en resursanalys >> i Azure Databricks) klickar du på fliken Avancerat .
Bredvid Aktivera infrastrukturkryptering väljer du Ja.
När du har slutfört konfigurationen av arbetsytan och skapat arbetsytan kontrollerar du att infrastrukturkryptering är aktiverat.

På resurssidan för Azure Databricks-arbetsytan går du till sidomenyn och väljer Inställningar > Kryptering. Bekräfta att Aktivera infrastrukturkryptering har valts.

Skapa en arbetsyta med dubbel kryptering med PowerShell

Följ anvisningarna i Snabbstart: Skapa en Azure Databricks-arbetsyta med PowerShell och lägg till alternativet -RequireInfrastructureEncryption i kommandot som du kör i steget Skapa en Azure Databricks-arbetsyta :

Till exempel

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

När arbetsytan har skapats kontrollerar du att infrastrukturkryptering är aktiverat genom att köra:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption ska anges till true.

Mer information om PowerShell-cmdletar för Azure Databricks-arbetsytor finns i modulreferensen az.databricks.

Skapa en arbetsyta med dubbel kryptering med hjälp av Azure CLI

När du skapar en arbetsyta med hjälp av Azure CLI inkluderar du alternativet --require-infrastructure-encryption.