为 DBFS 根配置双重加密

注意

此功能仅在高级计划中提供。

Databricks 文件系统 (DBFS) 是一个装载到 Azure Databricks 工作区的分布式文件系统,可以在 Azure Databricks 群集上使用。 DBFS 在 Azure Databricks 工作区的受管理资源组中实现为存储帐户。 DBFS 中的默认存储位置称为 DBFS 根

Azure 存储使用 256 位 AES 加密,在服务级别自动加密存储帐户中的所有数据,包括 DBFS 根存储。 这是可用的最强分组加密技术之一,并且符合 FIPS 140-2 规范。 如果需要更高级别的数据安全保证,则还可以在 Azure 存储基础结构级别启用 256 位 AES 加密。 启用基础结构加密后,将对存储帐户中的数据进行两次加密,分别在服务级别和基础架构级别使用两种不同的加密算法和两个不同的密钥。 Azure 存储数据的双重加密可以在其中一种加密算法或密钥泄露的情况下提供保护。 在此方案中,附加的一层加密会继续保护你的数据。

本文介绍如何创建工作区来为其根存储添加基础结构加密(因此是双重加密)。 必须在创建工作区时启用基础结构加密;不能将基础结构加密添加到现有工作区。

要求

使用 Azure 门户创建具有双重加密的工作区

按照快速入门:使用 Azure 门户在 Azure Databricks 工作区上运行 Spark 作业中的使用 Azure 门户创建工作区的说明操作,添加以下步骤:

  1. 在 PowerShell 中,运行以下命令,这些命令将允许你在 Azure 门户中启用基础结构加密。

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
    
    Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
    
  2. 在“创建 Azure Databricks 工作区”页上(“创建资源”>“分析”>“Azure Databricks”),单击“高级”选项卡。>>

  3. 在“启用基础结构加密”旁边,选择“是”。

    Enable double encryption at workspace creation

  4. 完成工作区配置并创建工作区后,验证是否已启用基础结构加密。

    在 Azure Databricks 工作区的资源页上,转到边栏菜单,选择“设置”“加密”。 确认已选中“启用基础结构加密”。

    Verify double encryption after workspace creation

使用 PowerShell 创建具有双重加密的工作区

按照快速入门:使用 PowerShell 创建 Azure Databricks 工作区中的说明,将选项 -RequireInfrastructureEncryption 添加到在创建 Azure Databricks 工作区步骤中运行的命令:

例如,应用于对象的

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location chinaeast2 -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

创建工作区后,通过运行以下内容来验证是否已启用基础结构加密:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption 应设置为 true

有关 Azure Databricks 工作区的 PowerShell cmdlet 的详细信息,请参阅 Az.Databricks 模块参考

使用 Azure CLI 创建具有双重加密的工作区

使用 Azure CLI 创建工作区时,包括选项 --require-infrastructure-encryption

例如,

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

创建工作区后,通过运行以下内容来验证是否已启用基础结构加密:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

requireInfrastructureEncryption 字段应出现在加密属性中,并设置为 true

有关 Azure Databricks 工作区的 Azure CLI 命令的详细信息,请参阅 az databricks workspace 命令参考