Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Эта функция доступна только в плане Premium.
Файловая система Databricks (DBFS) — это распределенная файловая система, подключенная к рабочей области Azure Databricks и доступная в кластерах Azure Databricks. DBFS реализуется как учетная запись хранения в управляемой группе ресурсов рабочей области Azure Databricks. Расположение по умолчанию в DBFS называется корнем DBFS.
служба хранилища Azure автоматически шифрует все данные в учетной записи хранения рабочей области, включая корневое хранилище DBFS, на уровне обслуживания с помощью 256-разрядного шифрования AES. Это один из самых надежных блочных шифров из всех имеющихся, и он совместим с FIPS 140-2. Если вам требуется более высокий уровень защиты данных, могут также включить 256-разрядное шифрование AES на уровне инфраструктуры службы хранилища Azure. Если включено шифрование инфраструктуры, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Двойное шифрование данных службы хранилища Azure позволяет избежать ситуации, когда один из алгоритмов шифрования или ключей может быть скомпрометирован. В этом сценарии дополнительный уровень шифрования сохраняется для защиты данных.
В этой статье описывается, как создать рабочую область, которая добавляет шифрование инфраструктуры (и, следовательно, двойное шифрование) для учетной записи хранения рабочей области. Необходимо включить шифрование инфраструктуры при создании рабочей области; шифрование инфраструктуры невозможно добавить в существующую рабочую область.
Требования
Создание рабочей области с двойным шифрованием с помощью портала Azure
Следуйте инструкциям по созданию рабочей области с помощью портала Azure, приведенным в разделе Краткое руководство: запуск задания Spark в рабочей области Azure Databricks с помощью портала Azure, а также добавьте следующие действия:
В PowerShell выполните следующие команды, которые позволят включить шифрование инфраструктуры на портале Azure.
Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryptionНа странице Создание рабочей области Azure Databricks (Создание ресурса > Аналитика > Azure Databricks ) перейдите на вкладку Дополнительно.
Рядом с параметром Включить шифрование инфраструктуры выберите значение Да.
Завершив настройку рабочей области и создав рабочую область, убедитесь, что шифрование инфраструктуры включено.
На странице ресурсов для рабочей области Azure Databricks перейдите в меню боковой панели и выберите Параметры > Шифрование. Убедитесь, что параметр Включить шифрование инфраструктуры активен.
Создание рабочей области с двойным шифрованием с помощью PowerShell
Следуйте инструкциям в кратком руководстве по созданию рабочей области Azure Databricks с помощью PowerShell и добавьте параметр -RequireInfrastructureEncryption к команде, выполняемой на шаге Создание рабочей области Azure Databricks:
Например,
New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption
После создания рабочей области убедитесь, что шифрование инфраструктуры включено, выполнив следующую команду:
Get-AzDatabricksWorkspace -Name <workspace-name> -ResourceGroupName <resource-group> | fl
RequireInfrastructureEncryption следует установить на true.
Дополнительные сведения о командлетах PowerShell для рабочих областей Azure Databricks см. в Справочнике по модулю Az.Databricks.
Создание рабочей области с двойным шифрованием с помощью интерфейса командной строки Azure
При создании рабочей области с помощью интерфейса командной строки Azure используйте параметр --require-infrastructure-encryption.
Например,
az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption
После создания рабочей области убедитесь, что шифрование инфраструктуры включено, выполнив следующую команду:
az databricks workspace show --name <workspace-name> --resource-group <resource-group>
В свойстве шифрования должно быть поле requireInfrastructureEncryption со значением true.
Дополнительные сведения о командах Azure CLI для рабочих областей Azure Databricks см. в справочнике по командам в рабочих областях az databricks.