Databricks on AWS GovCloud
Este artigo descreve a oferta Databricks on AWS GovCloud e seus controles compliance.
Visão geral do AWS GovCloud
AWS GovCloud oferece aos clientes do governo dos Estados Unidos e seus parceiros a flexibilidade de arquitetar soluções de nuvem seguras que estejam em conformidade com a linha de base FedRAMP High e outros regimes do site compliance, incluindo o United States International Traffic in Arms Regulations (ITAR) e o Export Administration Regulations (EAR). Para obter detalhes, consulte AWS GovCloud.
Databricks on AWS GovCloud fornece a plataforma Databricks implantada em AWS GovCloud com compliance e controles de segurança. Databricks on AWS GovCloud é operado exclusivamente por cidadãos americanos em solo americano.
Databricks on AWS GovCloud consiste em dois ambientes Databricks distintos:
- Databricks para AWS GovCloud: Para clientes que não são agências do Departamento de Defesa (DoD) com requisitos FedRAMP High e Impact Level 5 (IL5).
- Databricks for AWS GovCloud DoD: para agências do DoD com requisitos IL5. Esse ambiente está conectado à Rede de Roteadores de Protocolo de Internet Não Classificada (NIPRNet).
O Databricks GovCloud centro de ajuda é onde o senhor envia e gerencia os casos de suporte. Acesse https://help.databricks.us/s/. Não compartilhe dados controlados para exportação referentes a casos de suporte por meio de outro canal que não seja o Databricks GovCloud centro de ajuda. Para obter mais informações sobre suporte, consulte Suporte.
Quando um Databricks on AWS GovCloud account é provisionado, o proprietário do account recebe um email com um URL de login de curta duração.
perfil de segurança de conformidade
O perfil de segurança compliance é ativado em todos os espaços de trabalho Databricks on AWS GovCloud por default. O perfil de segurança compliance tem monitoramento adicional, tipos de instâncias aplicadas para criptografia entre nós, uma imagem compute reforçada e outros recursos que ajudam a atender aos requisitos do FedRAMP High compliance. A atualização automática do clustering e o monitoramento aprimorado da segurança também são ativados automaticamente.
O perfil de segurança compliance impõe o uso de tipos de instância doAWS Nitro que fornecem criptografia de rede implementada por hardware entre nós de clustering e criptografia em repouso para discos locais em clustering e Databricks SQL SQL warehouse. As instâncias do Fleet não estão disponíveis no AWS Gov Cloud. Os tipos de instância compatíveis são:
- Uso geral:
M5dn,M5n,M5zn,M6i,M7i,M6id,M6in,M6idn - computação otimizada:
C5a,C5ad,C5n,C6i,C6id,C7i,C6in - Memória otimizada:
R6i,R7i,R7iz,R6id,R6in,R6idn - Armazenamento otimizado:
D3,D3en,P3dn,R5dn,R5n,I4i,I3en - Computação acelerada:
G4dn,G5,P4d,P4de,P5
Para obter mais informações sobre o perfil de segurança compliance, consulte perfil de segurança de conformidade.
FedRAMP Alto compliance
O status de autorização FedRAMP High do site Databricks on AWS GovCloud é Authorized (Autorizado ).
Os clientes são responsáveis por implementar e operar os controles aplicáveis do FedRAMP HIGH compliance, conforme documentado no Resumo de implementação de controle / Matriz de responsabilidade do cliente no Apêndice J do SSP do pacote de documentação de autorização do FedRAMP Databricks. As agências do governo dos EUA podem obter acesso à documentação de autorização FedRAMP High da Databricks por meio do formulário de solicitação de acesso ao pacote FedRAMP. Siga as instruções no Databricks FedRAMP marketplace listing (pacote ID: FR2324740262).
DoD IL5 compliance
A Databricks para o AWS GovCloud DoD fornece às agências do Departamento de Defesa (DoD) o FedRAMP High e o Impact Level 5 (IL5). O AWS GovCloud DoD é um ambiente completamente separado dos outros ambientes da Databricks. Para fazer o onboarding para AWS GovCloud DoD, entre em contato com sua equipe Databricks account .
Requisitos
O senhor deve configurar o seguinte em Databricks on AWS GovCloud e AWS GovCloud no espaço de trabalho DoD:
- Autenticação de logon único, consulte Configurar SSO no Databricks
- PrivateLink para conexões back-end e front-end, consulte Habilitar a conectividade privada usando o AWS PrivateLink.
- Certifique-se de que informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes de workspace, nomes de clustering e nomes de trabalhos.
Databricks para região e URLs do AWS GovCloud
O Databricks AWS account ID para Databricks on AWS GovCloud é 044793339203 e o account ID para Databricks para AWS GovCloud DoD é 170661010020. O ID account é necessário para criar e configurar uma implementação cruzadaaccount IAM role para Databricks workspace . Consulte Criar um IAM role para a implementação do workspace.
Databricks on AWS GovCloud e AWS GovCloud O espaço de trabalho do DoD está na região us-gov-west-1. Para obter informações sobre a região, consulte Databricks clouds and regions.
Databricks on AWS GovCloud e AWS GovCloud Os URLs do DoD diferem dos URLs do Databricks na oferta comercial. Use os seguintes URLs para Databricks on AWS GovCloud:
-
URL do console da conta e URL de base para o resto APIs:
https://accounts.cloud.databricks.us/ -
URL do espaço de trabalho e URL de base para workspace-level REST APIs:
https://<deployment-name>.cloud.databricks.us/Por exemplo, se o nome da implantação que o senhor especificou durante a criação do workspace for
ABCSales, o URL do workspace seráhttps://abcsales.cloud.databricks.com.us.
Use os seguintes URLs para Databricks on AWS GovCloud DOD:
-
URL do console da conta e URL de base para o resto APIs:
https://accounts-dod.cloud.databricks.mil/ -
URL do espaço de trabalho e URL de base para workspace-level REST APIs:
https://<deployment-name>.cloud.databricks.mil/Por exemplo, se o nome da implantação que o senhor especificou durante a criação do workspace for
ABCSales, o URL do workspace seráhttps://abcsales.cloud.databricks.com.us.
Para implantações em Terraform, consulte Security Reference Architectures (SRA) - Terraform padrão.
disponibilidade de recurso
Recursos notáveis que são suportados:
- Unity Catalog
- Versões mais recentes e versões LTS do Databricks Runtime
- Databricks SQL
- Painéis
- Experiments MLflow
- Autenticação OAuth
recursos que não são suportados:
- computação sem servidor
- Servindo modelo
- Mensagens no produto
- Databricks Marketplace
- Conexão de parceiros
- System tables
- computar métricas
- Envio de tíquetes de suporte no produto
- Exportação do HTML Notebook