DBFSルートの操作に関する推奨事項
では、一部のワークスペースアクションのデフォルト の場所Databricks としてDBFS ルート ディレクトリを使用します。Databricks 、本番運用データや機密情報を DBFSルートに保存しないことをお勧めします。 この記事では、 DBFSルート上の機密データが誤って公開されないようにするための推奨事項に焦点を当てています。
Databricks は、内部 DBFS と呼ばれる顧客所有のクラウド ストレージにデータと構成を保持するために、別のプライベート ストレージの場所を構成します。 この場所はユーザーに公開されません。
DBFSルートにデータを保存しないようにユーザーを教育する
DBFSルートはワークスペース内のすべてのユーザーがアクセスできるため、すべてのユーザーがここに保存されているすべてのデータにアクセスできます。機密データの保存にこの場所を使用しないようにユーザーに指示することが重要です。 の にあるマネージドテーブルのデフォルトの場所はHive metastoreDatabricks DBFSルートです。マネージドテーブルを作成するエンドユーザーがDBFS ルートに書き込まないようにするには、 でデータベースを作成するときに外部ストレージ上の場所を宣言します。Hive metastore
Unity Catalog マネージドテーブル use a secure storage location by デフォルト. Databricks マネージドテーブルには Unity Catalog を使用することをお勧めします。
監査ログを使用してアクティビティを監視する
DBFS 監査イベントの詳細については、「 DBFS イベント」を参照してください。
DatabricksS3DBFSでは、 ルート バケットの オブジェクトレベルのログ記録を有効にして 問題を迅速に調査できるようにすることをお勧めします。S3 オブジェクトレベルのログ記録を有効にすると、AWS の使用コストが増加する可能性があることに注意してください。
Encrypt DBFSTルート データを顧客管理キーで暗号化する
DBFSルート データは、顧客管理のキーで暗号化できます。暗号化については、顧客管理のキーを参照してください。