DBFS ルートの使用方法に関する推奨事項
Azure Databricks では、一部のワークスペース アクションの既定の場所として DBFS ルート ディレクトリが使われます。 Databricks では、運用データまたは機密情報を DBFS ルートに格納しないことをお勧めしています。 この記事では、DBFS ルート上の機密データが誤って公開されないための推奨事項を重点的に説明します。
注意
Azure Databricks は、データと構成を保持するため、お客様所有のクラウド ストレージに、内部 DBFS と呼ばれる独立したプライベート ストレージの場所を構成します。 この場所はユーザーに公開されません。
重要
2023 年 3 月 6 日以降、新しい Azure Databricks ワークスペースでは、DBFS ルートに Azure Data Lake Storage Gen2 ストレージ アカウントが使用されます。 以前にプロビジョニングされたワークスペースでは、Blob Storage が使用されます。
DBFS ルートにデータを格納しないようにユーザーを教育する
DBFS ルートにはワークスペース内のすべてのユーザーがアクセスできるため、すべてのユーザーがここに格納されているデータにアクセスできます。 ここを機密データの格納場所として使用しないことをユーザーに教えることが重要です。 Azure Databricks 上の Hive メタストア内のマネージド テーブルの既定の場所は DBFS ルートです。マネージド テーブルを作成するエンド ユーザーが DBFS ルートに書き込むことがないように、Hive メタストアでデータベースを作成するときに外部ストレージ上の場所を宣言してください。
Unity Catalog のマネージド テーブルでは、既定で、セキュリティで保護された保存場所を使用します。 Databricks では、マネージド テーブル用に Unity Catalog の使用をお勧めしています。
監査ログを使用してアクティビティを監視する
注意
DBFS 監査イベントの詳細については、「DBFS イベント」を参照してください。
カスタマー マネージド キーを使用して DBFS ルート データを暗号化する
カスタマー マネージド キーを使用して DBFS ルート データを暗号化できます。 「DBFS ルート用のカスタマー マネージド キー」 をご覧ください
重要
DBFS ルートを支えるストレージ アカウントの Storage account key access
を無効にしないでください。 この設定を無効にすると、予期しない動作とエラーが発生します。