DBFS 루트에 대한 이중 암호화 구성

  • 아티클

참고 항목

이 기능은 프리미엄 플랜에서만 사용할 수 있습니다.

DBFS(Databricks 파일 시스템 )는 Azure Databricks 작업 영역에 탑재된 분산 파일 시스템이며 Azure Databricks 클러스터에서 사용할 수 있습니다. DBFS는 Azure Databricks 작업 영역의 관리되는 리소스 그룹에서 스토리지 계정으로 구현됩니다. DBFS의 기본 위치를 DBFS 루트라고 합니다.

Azure Storage는 256비트 AES 암호화를 사용하여 서비스 수준에서 DBFS 루트 스토리지를 포함하여 작업 영역 스토리지 계정의 모든 데이터를 자동으로 암호화합니다. 이는 사용 가능한 가장 강력한 블록 암호 중 하나이며 FIPS 140-2 규격을 준수합니다. 데이터가 안전하다는 더 높은 수준의 보증이 필요한 경우 Azure Storage 인프라 수준에서 256비트 AES 암호화를 사용하도록 설정할 수도 있습니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 다른 암호화 알고리즘 2개와 다른 키 2개를 사용하여 두 번(서비스 수준에서 한 번, 인프라 수준에서 한 번) 암호화됩니다. Azure Storage 데이터의 이중 암호화는 암호화 알고리즘 또는 키 중 하나가 손상되는 시나리오로부터 보호합니다. 이 시나리오에서 추가 암호화 계층은 계속해서 데이터를 보호합니다.

이 문서에서는 작업 영역 스토리지 계정에 대한 인프라 암호화(따라서 이중 암호화)를 추가하는 작업 영역을 만드는 방법을 설명합니다. 작업 영역 만들 때 인프라 암호화를 사용하도록 설정해야 합니다. 기존 작업 영역에 인프라 암호화를 추가할 수 없습니다.

요구 사항

Azure Portal을 사용하여 이중 암호화로 작업 영역 만들기

빠른 시작: Azure Portal을 사용하여 Azure Databricks Workspace에서 Spark 작업 실행에서 Azure Portal을 사용하여 작업 영역을 만드는 지침에 따라 다음 단계를 추가합니다.

  1. PowerShell에서 다음 명령을 실행하여 Azure Portal에서 인프라 암호화를 사용하도록 설정할 수 있습니다.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. Azure Databricks 작업 영역 만들기 페이지(리소스 만들기 > 분석 > Azure Databricks)에서 고급 탭을 클릭합니다.

  3. 인프라 암호화 사용 옆에 있는 를 선택합니다.

    작업 영역 생성 시 이중 암호화 사용

  4. 작업 영역 구성을 완료하고 작업 영역을 만들면 인프라 암호화가 사용하도록 설정되어 있는지 확인합니다.

    Azure Databricks 작업 영역의 리소스 페이지에서 사이드바 메뉴로 이동하여 설정 > 암호화를 선택합니다. 인프라 암호화 사용이 선택되었는지 확인합니다.

    작업 영역을 만든 후 이중 암호화 확인

PowerShell을 사용하여 이중 암호화로 작업 영역 만들기

빠른 시작: PowerShell을 사용하여 Azure Databricks 작업 영역 만들기의 지침에 따라 Azure Databricks 작업 영역 만들기 단계에서 실행하는 명령에 -RequireInfrastructureEncryption 옵션을 추가합니다.

예를 들면 다음과 같습니다.

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

작업 영역이 만들어진 후 다음을 실행하여 인프라 암호화가 사용하도록 설정되어 있는지 확인합니다.

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryptiontrue로 설정되어야 합니다.

Azure Databricks 작업 영역용 PowerShell cmdlet에 대한 자세한 내용은 Az.Databricks 모듈 참조를 참조하세요.

Azure CLI를 사용하여 이중 암호화로 작업 영역 만들기

Azure CLI를 사용하여 작업 영역을 만들 때 --require-infrastructure-encryption 옵션을 포함합니다.

예를 들면 다음과 같습니다.

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

작업 영역이 만들어진 후 다음을 실행하여 인프라 암호화가 사용하도록 설정되어 있는지 확인합니다.

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

requireInfrastructureEncryption 필드는 암호화 속성에 있어야 하며 true로 설정해야 합니다.

Azure Databricks 작업 영역에 대한 Azure CLI 명령에 대한 자세한 내용은 az databricks 작업 영역 명령 참조를 참조하세요.