Recomendações para trabalhar com DBFS root
Databricks usa o diretório DBFS root como um localdefault para algumas ações workspace. Databricks recomenda não armazenar dados de produção ou informações confidenciais no site DBFS root. Este artigo se concentra em recomendações para evitar a exposição acidental de dados confidenciais no site DBFS root.
A Databricks configura um local de armazenamento privado separado para persistir os dados e as configurações no armazenamento em nuvem de propriedade do cliente, conhecido como DBFS interno. Esse local não está exposto aos usuários.
Instrua os usuários a não armazenar dados em DBFS root
Como o DBFS root é acessível a todos os usuários em um workspace, todos os usuários podem acessar todos os dados armazenados aqui. É importante instruir os usuários a evitar o uso desse local para armazenar dados confidenciais. O local default para gerenciar tabelas no Hive metastore em Databricks é o DBFS root; para evitar que os usuários finais que criam tabelas gerenciáveis gravem no DBFS root, declare um local no armazenamento externo ao criar bancos de dados no Hive metastore.
Unity Catalog As mesas gerenciáveis utilizam um local de armazenamento seguro pelo site default. Databricks recomenda o uso do site Unity Catalog para gerenciar tabelas.
Use o registro de auditoria para monitorar a atividade
Para obter detalhes sobre os eventos de auditoria do DBFS, consulte Eventos do DBFS.
Databricks recomenda que o senhor ative o registro em nível de objeto S3 para o seu bucket DBFS root para permitir uma investigação mais rápida dos problemas. Lembre-se de que ativar o registro em nível de objeto do S3 pode aumentar o custo de uso do AWS.
Criptografe os dados do DBFS root com um gerenciador de clientes key
O senhor pode criptografar os dados do DBFS root com um gerenciador de clientes key. Consulte Chave de gerenciar clientes para criptografia.