Veri koruma gerçekleştirme

Tamamlandı

Bu modülde, güvenlikle ilgili aşağıdaki Azure Databricks incelemektedir:

  • Veri Koruma
  • IAM/Kimlik Doğrulaması
  • Uyumluluk

Azure Databricks güvenlik.

Bu ünitede, aşağıdakilerden oluşan Veri Koruma'ya odaklanın:

  • Beklemede şifreleme – Hizmet Tarafından Yönetilen Anahtarlar, Kullanıcı Tarafından Yönetilen Anahtarlar
  • Aktarım sırasında şifreleme (Aktarım Katmanı Güvenliği - TLS)
  • Azure Active Directory (AAD) Kullanıcıları, Grupları, Hizmet Sorumluları için Dosya/Klasör Düzeyi erişim denetim listeleri (ACL)
  • Kümeler, Klasörler, Not Defterleri, Tablolar, İşler için ACL'ler
  • Azure Key Vault ile gizli diziler

Bekleme sırasında şifreleme

Azure Databricks ve depolama alanı ayrımı vardır.

Azure Databricks ve depolama alanı ayrımı vardır.

Azure Databricks bir işlem platformudur. Not defterleri dışında veri depolamaz. Kümeler doğası gereği geçicidir. Ardından verileri işler ve sonlandırılır. Tüm veriler müşterinin aboneliğinde depolanır. Azure depolama hizmetleri sunucu tarafı şifrelemeyi kullanır, bu hizmetlerle Databricks kümeleri arasındaki iletişim sorunsuzdur.

Depolama Azure Depolama Blobları ve Azure Data Lake Depolama (1. Nesil) gibi hizmetler şunları sağlar:

  • Veri Şifrelemesi - VM'lere bağlı depolamada şifrelemeye ek olarak otomatik sunucu tarafı şifreleme
  • Müşteri Tarafından Yönetilen Anahtarlar - Kendi anahtarlarınızı Key Vault getirin
  • Dosya/Klasör Düzeyi ACL'ler (Azure Data Lake Depolama (1.1.2.)

Geçiş sırasında şifreleme

Denetim Düzlemi'den müşteri aboneliğinde (Veri Düzlemi) kümelere gelen tüm trafik her zaman TLS ile şifrelenir.

Geçiş sırasında şifreleme.

Kümeler çeşitli Azure hizmetlerinden verilere erişeken, geçiş sırasında şifrelemeyi sağlamak için her zaman TLS kullanılır.

Müşteriler web tarayıcıları üzerinden not defterlerine erişenin, bağlantının da güvenliği TLS ile sağlandı.

Erişim denetimi - ADLS Geçişi

Etkinleştirildiğinde, kimlik doğrulaması otomatik olarak Azure Databricks kümelerinden Azure Data Lake Depolama'de (ADLS) Azure Active Directory 'de oturum açmak için kullanılan Azure Active Directory (Azure AD) kimliği kullanılarak Azure Databricks. Yapılandırılmış bir kümede çalıştırılan komutlar, hizmet sorumlusu kimlik bilgilerini yapılandırmaya gerek kalmadan ADLS'de verileri okuyabilir ve yazabilir. ADLS'de klasör veya dosya düzeyinde uygulanan tüm ACL'ler kullanıcının kimliğine göre uygulanır.

ADLS Geçişi, Azure Databricks çalışma alanında bir küme Azure Databricks yapılandırılır. ADLS 1. Nesil 5.1+ Databricks Runtime gerektirir. ADLS 2. Nesil 5,3+ gerektirir.

Standart bir kümede, bu ayarı etkinleştirseniz, çalışma alanında Azure Active Directory (AAD) kullanıcılarından biri için tek kullanıcı erişimi Azure Databricks gerekir. Kimlik Bilgisi Geçişi etkinleştirildiğinde bu kümede yalnızca bir kullanıcının komut çalıştırmasına izin verilir.

ADLS Geçiş ayarı.

Yüksek eşzamanlılık kümeleri birden çok kullanıcı tarafından paylaşılır. Bu tür kümelerde ADLS Geçişi'ni etkinleştirerek tek bir kullanıcı seçmenizi gerektirmez.

Yüksek eşzamanlılık kümeleri için ADLS Geçiş ayarı.

Erişim denetimi - Klasörler

Erişim denetimi yalnızca SKU'Premium kullanılabilir. Varsayılan olarak, bir yönetici çalışma alanı erişim denetimine izin olmadığı sürece tüm kullanıcılar çalışma alanı nesneleri oluşturabilir ve değiştirebilir. Çalışma alanı erişim denetimiyle, tek tek izinler kullanıcının becerilerini belirler. Bu bölümde, tek tek izinler ve çalışma alanı erişim denetimi etkinleştirme ve yapılandırma açık almaktadır.

Not defterlerine ve klasörlere beş izin düzeyi atabilirsiniz: İzin Yok, Okuma, Çalıştırma, Düzenleme ve Yönetme. Aşağıdaki tablolarda her iznin özellikleri listelemektedir.

Klasör erişim denetimi.

Erişim denetimi - Not defterleri

Not defteri erişim denetimi.

Bir klasördeki tüm not defterleri, o klasörün tüm izin ayarlarını devralabilir. Örneğin, bir klasörde Çalıştırma izni olan bir kullanıcı, bu klasördeki tüm not defterleri üzerinde Çalıştır iznine sahip olur.

Çalışma alanı erişim denetimi etkinleştirmek için:

  • Yönetici Konsolu'nu seçin.
  • Access Control sekmesini seçin.
  • Çalışma Alanı Listesi'nin yanındaki Etkinleştir düğmesine Access Control.
  • Değişikliği onaylamak için Onayla'ya tıklayın.

Erişim denetimi - Kümeler

Tüm kullanıcılar kitaplıkları görüntülemeye devam ediyor. Kümelere kimlerin kitaplık ekley kuraya sahip olduğunu kontrol etmek için kümelerde erişim denetimi yönetin.

Varsayılan olarak, bir yönetici küme erişim denetimine izin olmadığı sürece tüm kullanıcılar küme oluşturabilir ve değiştirebilir. Küme erişim denetimiyle, izinler kullanıcının becerilerini belirler. Bir küme için dört izin düzeyi vardır: İzin Yok, Eklenebilirsiniz, Yeniden Başlatabilirsiniz ve Yönetebilir:

Küme erişim denetimi.

Not: Tüm Can Manage kümeler için oluşturamazsınız.

Erişim denetimi - İşler

İşleri kimlerin çalıştıracaklarını ve iş çalıştırmalarının sonuçlarını görmek için işlerde erişim denetimi yönetin.

İşler için beş izin düzeyi vardır: İzin Yok, Görünüme Sahip Değil, Çalıştırmayı Yönetebilir, Sahip ve Yönetebilir. Yönet izni yöneticiler için ayrılmıştır.

İş erişim denetimi.

Erişim denetimi - Tablolar

Tablo erişim denetimi (tablo ACL'leri), SQL, Python ve PySpark'tan program aracılığıyla verilerinize erişim izni ve iptal etme izni veremenizi sağlar.

Varsayılan olarak, bir yönetici bu küme için tablo erişim denetimine izin vermez sürece tüm kullanıcılar kümenin yönetilen tablolarında depolanan tüm verilere erişime sahip olur. Bir küme için tablo erişim denetimi etkinleştirildikten sonra, kullanıcılar bu kümedeki veri nesneleri için izinleri ayarlamaya devam eder.

Veri nesneleri üzerinde ayrıcalıklar verip iptal etmek için bir yöneticinin küme için tablo erişim denetimi etkinleştirmesi gerekir.

Görünüm tabanlı erişim denetimi modeli

Görünüm Azure Databricks denetim modeli aşağıdaki ayrıcalıkları tanımlar:

  • SELECT: bir nesneye okuma erişimi verir.
  • CREATE: nesne (örneğin, veritabanında bir tablo) oluşturma olanağı sağlar
  • MODIFY: bir nesneye/nesnesine/nesnesine veri ekleme/silme/değiştirme yeteneği sağlar.
  • READ_METADATA : bir nesneyi ve meta verilerini görüntüleme olanağı sağlar.
  • CREATE_NAMED_FUNCTION : var olan bir katalogda veya veritabanında adlandırılmış bir UDF oluşturma olanağı sağlar.
  • TÜM AYRıCALıKLAR – tüm ayrıcalıkları verir (yukarıdaki ayrıcalıkların tamamlarına çevrilir)

Yukarıdaki ayrıcalıklar aşağıdaki nesne sınıfları için geçerli olabilir:

  • CATALOG - veri kataloğun tamamına erişimi kontrol eder.
  • DATABASE : Veritabanına erişimi kontrol eder.
  • TABLE : Yönetilen veya dış tabloya erişimi kontrol eder.
  • VIEW : Görünümlere erişimi SQL.
  • FUNCTION - adlandırılmış bir işleve erişimi kontrol eder.
  • ANONYMOUS FUNCTION - Anonim veya geçici işlevlere erişimi kontrol eder.
  • HER DOSYA - Temel dosya sistemi erişimini kontrol eder.

Gizli Diziler

Gizli Diziler API'leri kullanılarak gizli diziler bir Azure Key Vault veya Databricks arka ucu dahil güvenli bir şekilde depolanmış olabilir. Yetkili kullanıcılar gizli dizileri hizmetlere erişmek için tüketir.

Azure Databricks iki tür gizli kapsam vardır: Key Vault-desteklenen ve Databricks-desteklenir. Bu gizli kapsamlar veritabanı bağlantı dizesi gibi gizli dizileri depolamanıza olanak tanır. Bir Kullanıcı bir not defterine gizli çıkış yapmaya çalışırsa, ile değiştirilmiştir [REDACTED] . Bunun yapılması, birisinin gizli diziyi görüntülemesini veya not defterini gösterirken ya da paylaşırken yanlışlıkla sızdırmasını önlemeye yardımcı olur.

En iyi uygulama olarak, kimlik bilgilerinizi doğrudan bir not defterine girmek yerine, kimlik bilgilerinizi depolamak ve bunları not defterlerine ve işlere başvurmak için Azure Databricks gizli dizileri kullanın.

Gizli dizileri ayarlamak için:

  • Gizli dizi kapsamı oluşturun. Gizli dizi kapsam adları büyük/küçük harfe duyarlı değildir.
  • Gizli dizileri kapsama ekleyin. Gizli dizi adları büyük/küçük harfe duyarlı değildir.
  • Azure Databricks Premium Planınız varsa, gizli dizi kapsamına erişim denetimi atayın.

Azure Key Vault ile desteklenen gizli kapsam oluşturma ekran görüntüsü:

Gizli dizi kapsamı oluşturun.