Bagikan melalui

Konfigurasikan enkripsi ganda untuk akar DBFS

  • Artikel

Catatan

Fitur ini hanya tersedia dalam paket Premium.

Databricks File System (DBFS) adalah sistem file terdistribusi yang dipasang ke ruang kerja Azure Databricks dan tersedia di kluster Azure Databricks. DBFS diimplementasikan sebagai akun penyimpanan di grup sumber daya terkelola ruang kerja Azure Databricks Anda. Lokasi default di DBFS dikenal sebagai akar DBFS.

Azure Storage secara otomatis mengenkripsi semua data di akun penyimpanan ruang kerja, termasuk penyimpanan akar DBFS, di tingkat layanan menggunakan enkripsi AES 256-bit. Ini adalah salah satu cipher blok terkuat yang tersedia dan sesuai dengan FIPS 140-2. Jika Anda memerlukan tingkat jaminan yang lebih tinggi bahwa data Anda aman, Anda juga dapat mengaktifkan enkripsi AES 256-bit di tingkat infrastruktur Azure Storage. Saat enkripsi infrastruktur diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, dengan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. Enkripsi ganda data Azure Storage melindungi dari skenario saat salah satu algoritme atau kunci enkripsi mungkin dikompromikan. Dalam skenario ini, lapisan enkripsi tambahan terus melindungi data Anda.

Artikel ini menjelaskan cara membuat ruang kerja yang menambahkan enkripsi infrastruktur (dan oleh karena itu enkripsi ganda) untuk akun penyimpanan ruang kerja. Anda harus mengaktifkan enkripsi infrastruktur saat pembuatan ruang kerja; Anda tidak dapat menambahkan enkripsi infrastruktur ke ruang kerja yang sudah ada.

Persyaratan

Membuat ruang kerja dengan enkripsi ganda menggunakan portal Azure

Ikuti petunjuk untuk membuat ruang kerja menggunakan portal Azure di Mulai Cepat: Menjalankan pekerjaan Spark di Azure Databricks Workspace menggunakan portal Azure, menambahkan langkah-langkah berikut:

  1. Di PowerShell, jalankan perintah berikut, yang memungkinkan Anda mengaktifkan enkripsi infrastruktur di portal Azure.

    Register-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

Get-AzProviderFeature -ProviderNamespace Microsoft.Storage -FeatureName AllowRequireInfraStructureEncryption

  2. Di halaman Membuat ruang kerja Azure Databricks (Membuat sumber daya > Analytics > Azure Databricks), klik tab Tingkat Lanjut.

  3. Di samping Mengaktifkan Enkripsi Infrastruktur, pilih Ya.

    Mengaktifkan enkripsi ganda pada pembuatan ruang kerja

  4. Setelah Anda menyelesaikan konfigurasi ruang kerja dan membuat ruang kerja, verifikasi enkripsi infrastruktur diaktifkan.

    Di halaman sumber daya untuk ruang kerja Azure Databricks, buka menu bilah sisi dan pilih Pengaturan > Enkripsi. Konfirmasikan bahwa Aktifkan Enkripsi Infrastruktur dipilih.

    Memverifikasi enkripsi ganda setelah pembuatan ruang kerja

Membuat ruang kerja dengan enkripsi ganda menggunakan PowerShell

Ikuti petunjuk di Mulai Cepat: Membuat ruang kerja Azure Databricks menggunakan PowerShell, menambahkan opsi -RequireInfrastructureEncryption ke perintah yang Anda jalankan di langkah Membuat ruang kerja Azure Databricks:

Contohnya,

New-AzDatabricksWorkspace -Name databricks-test -ResourceGroupName testgroup -Location eastus -ManagedResourceGroupName databricks-group -Sku premium -RequireInfrastructureEncryption

Setelah ruang kerja Anda dibuat, verifikasi bahwa enkripsi infrastruktur diaktifkan dengan menjalankan:

Get-AzDatabricksWorkspace  -Name <workspace-name> -ResourceGroupName <resource-group> | fl

RequireInfrastructureEncryption harus ditetapkan ke true.

Untuk informasi selengkapnya tentang cmdlet PowerShell untuk ruang kerja Azure Databricks, lihat Referensi modul Az.Databricks.

Membuat ruang kerja dengan enkripsi ganda menggunakan Azure CLI

Saat Anda membuat ruang kerja menggunakan Azure CLI, sertakan opsi --require-infrastructure-encryption.

Contohnya,

az databricks workspace create --name <workspace-name> --location <workspace-location> --resource-group <resource-group> --sku premium --require-infrastructure-encryption

Setelah ruang kerja Anda dibuat, verifikasi bahwa enkripsi infrastruktur diaktifkan dengan menjalankan:

az databricks workspace show --name <workspace-name> --resource-group <resource-group>

Bidang requireInfrastructureEncryption harus ada di properti enkripsi dan diatur ke true.

Untuk informasi selengkapnya tentang perintah Azure CLI untuk ruang kerja Azure Databricks, lihat referensi perintah ruang kerja az databricks.