Configurare la doppia crittografia per la radice DBFS

  • Articolo

Nota

Questa funzionalità è disponibile solo nel piano Premium.

Il file system di Databricks è un file system distribuito montato in un'area di lavoro di Azure Databricks e disponibile nei cluster Azure Databricks. Il file system di Databricks viene implementato come account di archiviazione nel gruppo di risorse gestite dell'area di lavoro di Azure Databricks. Il percorso predefinito in DBFS è noto come radice DBFS.

Archiviazione di Azure crittografa automaticamente tutti i dati nell'account di archiviazione dell'area di lavoro, inclusa l'archiviazione radice DBFS, a livello di servizio usando la crittografia AES a 256 bit. Si tratta di una delle crittografie a blocchi più forti disponibili ed è conforme a FIPS 140-2. Se sono necessari livelli più elevati di garanzia che i dati siano sicuri, è anche possibile abilitare la crittografia AES a 256 bit a livello di infrastruttura Archiviazione di Azure. Una volta abilitata la crittografia dell'infrastruttura, i dati in un account di archiviazione vengono crittografati due volte (una volta a livello di servizio e una volta a livello di infrastruttura) con due algoritmi di crittografia diversi e due chiavi diverse. La doppia crittografia dei dati Archiviazione di Azure protegge da uno scenario in cui uno degli algoritmi o delle chiavi di crittografia viene compromesso. In questo scenario, il livello aggiuntivo di crittografia continua a proteggere i dati.

Questo articolo descrive come creare un'area di lavoro che aggiunge la crittografia dell'infrastruttura (e quindi doppia crittografia) per un account di archiviazione dell'area di lavoro. È necessario abilitare la crittografia dell'infrastruttura durante la creazione dell'area di lavoro; non è possibile aggiungere la crittografia dell'infrastruttura a un'area di lavoro esistente.

Requisiti

Creare un'area di lavoro con doppia crittografia usando il portale di Azure

Seguire le istruzioni per creare un'area di lavoro usando il portale di Azure in Avvio rapido: Eseguire un processo Spark nell'area di lavoro di Azure Databricks usando il portale di Azure, aggiungendo questi passaggi:

  1. In PowerShell eseguire i comandi seguenti, che consentono di abilitare la crittografia dell'infrastruttura nel portale di Azure.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. Nella pagina Crea un'area di lavoro di Azure Databricks (Creare una risorsa > Di > Azure Databricks) fare clic sulla scheda Avanzate.

  3. Accanto a Abilita crittografia infrastruttura selezionare .

    Abilitare la doppia crittografia durante la creazione dell'area di lavoro

  4. Dopo aver completato la configurazione dell'area di lavoro e aver creato l'area di lavoro, verificare che la crittografia dell'infrastruttura sia abilitata.

    Nella pagina della risorsa per l'area di lavoro di Azure Databricks passare al menu della barra laterale e selezionare Impostazioni > Crittografia. Verificare che l'opzione Abilita crittografia infrastruttura sia selezionata.

    Verificare la doppia crittografia dopo la creazione dell'area di lavoro

Creare un'area di lavoro con doppia crittografia usando PowerShell

Seguire le istruzioni in Avvio rapido: Creare un'area di lavoro di Azure Databricks usando PowerShell, aggiungendo l'opzione -RequireInfrastructureEncryption al comando eseguito nel passaggio Creare un'area di lavoro di Azure Databricks:

ad esempio:

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Dopo aver creato l'area di lavoro, verificare che la crittografia dell'infrastruttura sia abilitata eseguendo:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption deve essere impostato su true.

Per altre informazioni sui cmdlet di PowerShell per le aree di lavoro di Azure Databricks, vedere le informazioni di riferimento sul modulo Az.Databricks.

Creare un'area di lavoro con doppia crittografia usando l'interfaccia della riga di comando di Azure

Quando si crea un'area di lavoro usando l'interfaccia della riga di comando di Azure, includere l'opzione --require-infrastructure-encryption.

ad esempio:

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Dopo aver creato l'area di lavoro, verificare che la crittografia dell'infrastruttura sia abilitata eseguendo:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

Il requireInfrastructureEncryption campo deve essere presente nella proprietà di crittografia e impostato su true.

Per altre informazioni sui comandi dell'interfaccia della riga di comando di Azure per le aree di lavoro di Azure Databricks, vedere le informazioni di riferimento sui comandi az databricks workspace.