Configurer du chiffrement double pour la racine DBFS

Notes

Cette fonctionnalité est disponible uniquement dans le plan Premium.

Databricks File System (DBFS) est un système de fichiers distribué, monté dans un espace de travail Azure Databricks et disponible sur les clusters Azure Databricks. DBFS est implémenté en tant que compte de stockage dans le groupe de ressources managé de votre espace de travail Azure Databricks. L’emplacement par défaut dans DBFS est appelé Racine DBFS.

Le Stockage Azure chiffre de façon automatique toutes les données dans le compte de stockage de l’espace de travail, y compris le stockage racine DBFS, au niveau du service à l’aide du chiffrement AES 256 bits. Il s’agit de l’un des chiffrements par blocs les plus puissants disponibles. De plus, il est conforme à la norme FIPS 140-2. Si vous voulez vous assurer que vos données sont sécurisées, vous pouvez également activer le chiffrement AES 256 bits au niveau de l’infrastructure du Stockage Azure. Lorsque le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois, une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement et deux clés différents. Le chiffrement double des données du Stockage Azure permet d’éviter un scénario impliquant une compromission d’un algorithme ou d’une clé de chiffrement. Dans un tel scénario, la couche de chiffrement supplémentaire continue de protéger vos données.

Cet article explique comment créer un espace de travail qui ajoute du chiffrement d’infrastructure (et, par conséquent, le chiffrement double) au compte de stockage de l’espace de travail. Vous devez activer le chiffrement d’infrastructure lors de la création de l’espace de travail. Vous ne pouvez pas ajouter de chiffrement d’infrastructure à un espace de travail existant.

Spécifications

Créer un espace de travail avec un chiffrement double à l’aide du Portail Azure

Suivez les instructions pour créer un espace de travail à l’aide du portail Azure dans Démarrage rapide : Exécuter un travail Spark sur un espace de travail Azure Databricks à l’aide du portail Azure, en ajoutant les étapes suivantes :

  1. Dans PowerShell, exécutez les commandes suivantes, qui vous permettront d’activer le chiffrement d’infrastructure dans le portail Azure.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
    
    Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption
    
  2. Sur la page Créer un espace de travail Azure Databricks (Créer une ressource > Analytics > Azure Databricks), cliquez sur l’onglet Avancé.

  3. En regard de Activer le chiffrement d’infrastructure, sélectionnez Oui.

    Activer le chiffrement double à la création de l’espace de travail

  4. Lorsque vous avez terminé la configuration de votre espace de travail et que vous avez créé l’espace de travail, vérifiez que le chiffrement d’infrastructure est activé.

    Sur la page des ressources de l’espace de travail Azure Databricks, accédez au menu de la barre latérale et sélectionnez Paramètres > Chiffrement. Vérifiez que l’option Activer le chiffrement d’infrastructure est sélectionnée.

    Vérifier le chiffrement double après la création de l’espace de travail

Créer un espace de travail avec un chiffrement double à l’aide de PowerShell

Suivez les instructions de Démarrage rapide : Créer un espace de travail Azure Databricks à l’aide de PowerShell, en ajoutant l’option -RequireInfrastructureEncryption à la commande que vous exécutez à l’étape Créer un espace de travail Azure Databricks :

Par exemple,

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Une fois votre espace de travail créé, vérifiez que le chiffrement d’infrastructure est activé en exécutant :

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption doit être définie sur true.

Pour plus d’informations sur les applets de commande PowerShell pour les espaces de travail Azure Databricks, consultez les informations de références de module sur Az.Databricks.

Créer un espace de travail avec un chiffrement double à l’aide d’Azure CLI

Lorsque vous créez un espace de travail à l’aide d’Azure CLI, incluez l’option --require-infrastructure-encryption.

Par exemple,

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Une fois votre espace de travail créé, vérifiez que le chiffrement d’infrastructure est activé en exécutant :

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

Le champ requireInfrastructureEncryption doit être présent dans la propriété de chiffrement et défini sur true.

Pour plus d’informations sur les commandes Azure CLI pour les espaces de travail Azure Databricks, consultez les informations de référence sur la commande az databricks workspace.