Pular para o conteúdo principal

Databricks on AWS GovCloud (FedRAMP High)

Este artigo descreve a oferta Databricks on AWS GovCloud e seus controles compliance.

Visão geral do AWS GovCloud

AWS GovCloud oferece aos clientes do governo dos Estados Unidos e seus parceiros a flexibilidade de arquitetar soluções de nuvem seguras que estejam em conformidade com a linha de base FedRAMP High e outros regimes do site compliance, incluindo o United States International Traffic in Arms Regulations (ITAR) e o Export Administration Regulations (EAR). Para obter detalhes, consulte AWS GovCloud.

Databricks on AWS GovCloud fornece a plataforma Databricks implantada em AWS GovCloud com compliance e controles de segurança. Databricks on AWS GovCloud é operado exclusivamente por cidadãos americanos em solo americano.

Databricks on AWS GovCloud consiste em dois ambientes Databricks distintos:

  • Databricks para AWS GovCloud: Para clientes que não são agências do Departamento de Defesa (DoD) com requisitos FedRAMP High e Impact Level 5 (IL5).
  • Databricks for AWS GovCloud DoD: para agências do DoD com requisitos IL5. Esse ambiente está conectado à Rede de Roteadores de Protocolo de Internet Não Classificada (NIPRNet).
nota

O Databricks GovCloud centro de ajuda é onde o senhor envia e gerencia os casos de suporte. Acesse https://help.databricks.us/s/. Não compartilhe dados controlados para exportação referentes a casos de suporte por meio de outro canal que não seja o Databricks GovCloud centro de ajuda. Para obter mais informações sobre suporte, consulte Suporte.

Quando um Databricks on AWS GovCloud account é provisionado, o proprietário do account recebe um email com um URL de login de curta duração.

perfil de segurança de conformidade

O perfil de segurança compliance é habilitado em todos Databricks on AWS GovCloud por default. O perfil de segurança compliance tem monitoramento adicional, tipos de instâncias impostas para criptografia entre nós, uma imagem compute reforçada e outros recursos que ajudam a atender aos requisitos de alta compliance do FedRAMP. A atualização automática do cluster e o monitoramento de segurança aprimorado também são ativados automaticamente.

O perfil de segurança compliance impõe o uso de tipos de instância doAWS Nitro que fornecem criptografia de rede implementada por hardware entre nós de clustering e criptografia em repouso para discos locais em clustering e Databricks SQL SQL warehouse. As instâncias do Fleet não estão disponíveis no AWS Gov Cloud. Os tipos de instância compatíveis são:

  • Uso geral: M5dn, M5n, M5zn, M6i, M7i, M6id, M6in, M6idn
  • computação otimizada: C5a, C5ad, C5n, C6i, C6id, C7i, C6in
  • Memória otimizada: R6i, R7i, R7iz, R6id, R6in, R6idn
  • Armazenamento otimizado: D3, D3en, P3dn, R5dn, R5n, I4i, I3en
  • Computação acelerada: G4dn, G5, P4d, P4de, P5

Para obter mais informações sobre o perfil de segurança compliance, consulte perfil de segurança de conformidade.

FedRAMP Alto compliance

O status de autorização FedRAMP High do site Databricks on AWS GovCloud é Authorized (Autorizado ).

Os clientes são responsáveis por implementar e operar os controles aplicáveis do FedRAMP HIGH compliance, conforme documentado no Resumo de implementação de controle / Matriz de responsabilidade do cliente no Apêndice J do SSP do pacote de documentação de autorização do FedRAMP Databricks. As agências do governo dos EUA podem obter acesso à documentação de autorização FedRAMP High da Databricks por meio do formulário de solicitação de acesso ao pacote FedRAMP. Siga as instruções no Databricks FedRAMP marketplace listing (pacote ID: FR2324740262).

DoD IL5 compliance

A Databricks para o AWS GovCloud DoD fornece às agências do Departamento de Defesa (DoD) o FedRAMP High e o Impact Level 5 (IL5). O AWS GovCloud DoD é um ambiente completamente separado dos outros ambientes da Databricks. Para fazer o onboarding para AWS GovCloud DoD, entre em contato com sua equipe Databricks account .

Requisitos

O senhor deve configurar o seguinte em Databricks on AWS GovCloud e AWS GovCloud no espaço de trabalho DoD:

  • Autenticação de logon único, consulte Configurar SSO no Databricks
  • PrivateLink para conexões back-end e front-end, consulte Habilitar a conectividade privada usando o AWS PrivateLink.
  • Certifique-se de que informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes workspace , nomes de recursos compute , tags, nomes de trabalhos, nomes de execução de trabalhos, nomes de rede, nomes de credenciais, nomes account de armazenamento e IDs ou URLs de repositórios Git . Esses campos podem ser armazenados, processados ou acessados fora do limite compliance .

Databricks para região e URLs do AWS GovCloud

O Databricks AWS account ID para Databricks on AWS GovCloud é 044793339203 e o account ID para Databricks para AWS GovCloud DoD é 170661010020. O ID account é necessário para criar e configurar uma implementação cruzadaaccount IAM role para Databricks workspace . Consulte Criar um IAM role para a implementação do workspace.

Databricks on AWS GovCloud e AWS GovCloud O espaço de trabalho do DoD está na região us-gov-west-1. Para obter informações sobre a região, consulte Databricks clouds and regions.

Databricks on AWS GovCloud e AWS GovCloud Os URLs do DoD diferem dos URLs do Databricks na oferta comercial. Use os seguintes URLs para Databricks on AWS GovCloud:

  • URL do console da conta e URL de base para o resto APIs: https://accounts.cloud.databricks.us/

  • URL do espaço de trabalho e URL de base para workspace-level REST APIs: https://<deployment-name>.cloud.databricks.us/

    Por exemplo, se o nome da implantação que o senhor especificou durante a criação do workspace for ABCSales, o URL do workspace será https://abcsales.cloud.databricks.com.us.

Use os seguintes URLs para Databricks on AWS GovCloud DOD:

  • URL do console da conta e URL de base para o resto APIs: https://accounts-dod.cloud.databricks.mil/

  • URL do espaço de trabalho e URL de base para workspace-level REST APIs: https://<deployment-name>.cloud.databricks.mil/

    Por exemplo, se o nome da implantação que o senhor especificou durante a criação do workspace for ABCSales, o URL do workspace será https://abcsales.cloud.databricks.com.us.

Para implantações em Terraform, consulte Security Reference Architectures (SRA) - Terraform padrão.

disponibilidade de recursos

Recursos notáveis que são suportados:

  • Unity Catalog
  • Versões mais recentes e versões LTS do Databricks Runtime
  • Databricks SQL
  • Painéis
  • Experiments MLflow
  • Autenticação OAuth
  • Controle de acesso baseado em atributos do Unity Catalog (Beta)

recursos que não são suportados:

  • computação sem servidor
  • Servindo modelo
  • Mensagens no produto
  • Databricks Marketplace
  • Conexão de parceiros
  • computar métricas
  • Envio de tíquetes de suporte no produto
  • Exportação do HTML Notebook
  • gerenciar Apache Iceberg
  • Somente o esquema system.billing e a tabela system.access.audit estão disponíveis em Databricks on AWS GovCloud.

Suporte ao Delta Sharing

Databricks-to-Databricks Delta Sharing só é compatível com o mesmo tipo de ambiente: comercial para comercial, GovCloud para GovCloud, DoD para DoD ou Azure China paraAzure China. Para obter detalhes sobre os cenários de compartilhamento compatíveis, consulte Databricks-to-Databricks Delta Sharing matriz de suporte para ambientes de nuvem.

O protocolo de compartilhamento aberto Delta Sharing é compatível com os tipos de ambiente de nuvem, por exemplo, de nuvens comerciais da AWS para AWS GovCloud ou Azure China.

Última atualização em