Compartir a través de

Deshabilitar el acceso a la raíz de DBFS y a los puntos de montaje en su área de trabajo de Azure Databricks existente

En esta página se describe cómo deshabilitar el acceso a la raíz heredada del sistema de archivos de Databricks (DBFS) y montajes en las áreas de trabajo existentes de Azure Databricks. Para deshabilitar la raíz de DBFS y los montajes en el nivel de cuenta de las nuevas áreas de trabajo, use la opción Deshabilitar la cuenta de características heredadas .

Después de haber migrado sus flujos de trabajo basados en archivos a volúmenes del Catálogo de Unity, ubicaciones externas o archivos del área de trabajo, puede evitar que los usuarios suban, modifiquen o accedan a datos en la raíz de DBFS y los montajes de DBFS. Al deshabilitar la raíz y los montajes de DBFS se mejora la postura de seguridad al eliminar el acceso al almacenamiento compartido que no se rige por Unity Catalog.

¿Qué son la raíz y los montajes de DBFS?

DBFS es un sistema de archivos distribuido en áreas de trabajo de Databricks accesible bajo el esquema de URI dbfs: y se usa para interactuar con el almacenamiento basado en la nube. El dbfs: esquema de URI se usa para acceder a varias áreas de almacenamiento en un área de trabajo, entre las que se incluyen:

  • Raíz de DBFS: el área accesible directamente bajo la raíz del sistema de archivos, por ejemplo, al escribir dbfs:/. Todos los usuarios del área de trabajo pueden acceder al contenido creado directamente en la raíz de DBFS, excepto el contenido en uno de los prefijos reservados siguientes, cada uno sujeto a condiciones especiales. Consulte ¿Qué es la raíz de DBFS?.
  • Montajes de DBFS: un enfoque heredado para definir el acceso al almacenamiento en la nube externo, accesible en dbfs:/mnt/<mount_name>. Consulte Montar almacenamiento de objetos.
  • Prefijos reservados de Azure Databricks: prefijo usado por los volúmenes de Catálogo de Unity y otras rutas de acceso del sistema de Azure Databricks, como dbfs:/databricks-datasets/ y las rutas de acceso de recursos de MLflow. Por ejemplo: dbfs:/Volumes/.

Todas las rutas de acceso también son accesibles mediante rutas de acceso de estilo POSIX. Consulte ¿Necesito proporcionar un esquema de URI para acceder a los datos?.

Para obtener más información sobre DBFS, incluida la raíz y los montajes de DBFS, consulte ¿Qué es DBFS?

¿Qué se está deshabilitando?

Después de deshabilitar la raíz y los montajes del DBFS:

  • Todo el acceso a la raíz y los montajes de DBFS en áreas de trabajo existentes está deshabilitado y bloqueado en todas las interfaces (INTERFAZ de usuario, API, CLI, FUSE).
  • Los intentos de leer o escribir archivos de la raíz de DBFS y los montajes producen un error. Por ejemplo, el mensaje de error Raíz pública de DBFS está deshabilitado.
  • El explorador DBFS y la opción Cargar en DBFS ya no son accesibles desde la interfaz de usuario. Los trabajos, cuadernos o scripts que hacen referencia a la raíz de DBFS y a los puntos de montaje fallan a menos que la configuración sea revertida.
  • La opción DBFS ya no es accesible desde características comunes como:
    • Bibliotecas de clústeres
    • Entrega de registros del clúster
    • Registro de modelos y seguimiento de MLflow (no UC)
    • Experimentos de AutoML
    • Canalizaciones declarativas de Spark de Lakeflow
  • La inserción de archivos de cuaderno estático mediante /files produce un error 500. Consulte Inserción de imágenes estáticas en cuadernos.
  • Las operaciones de montaje y desmontaje están bloqueadas.
  • Las operaciones de FileStore están bloqueadas.
  • Al deshabilitar la raíz y los montajes de DBFS en tu área de trabajo, también se deshabilitan las versiones de Databricks Runtime anteriores a la 13.3 LTS.

Note

En las áreas de trabajo donde DBFS está deshabilitado, la dbfs:/Workspace ruta de acceso proporciona acceso a los archivos del sistema de archivos del área de trabajo. Esto requiere Databricks Runtime 13.3 LTS o superior.

¿Qué no se ve afectado?

El esquema de URI dbfs: sigue siendo fundamental para Azure Databricks y deshabilitar el raíz de DBFS y los montajes de DBFS no deshabilita el propio URI dbfs:. Lo siguiente sigue funcionando según lo previsto:

Note

Los datos preexistentes en la raíz de DBFS y los puntos de montaje no se eliminan. Si se habilitan de nuevo la raíz y los montajes de DBFS mediante la configuración Disable DBFS root and mounts a nivel de área de trabajo, los datos vuelven a ser accesibles.

Estos son algunos ejemplos de rutas de acceso que permanecen accesibles y no se ven afectadas por la deshabilitación de la raíz de DBFS y los montajes.

Category Path Description
Volúmenes de catálogo de Unity dbfs:/Volumes/<catalog>/<schema>/<volume>/<path>/<file_name> Reservado para volúmenes de UC y accesible solo a través de API específicas de UC y sujeto a reglas de gobernanza de UC. Para obtener más información, consulte Ruta de acceso para acceder a archivos en un volumen.
Ruta de acceso del sistema dbfs:/databricks/mlflow-registry dbfs:/databricks/mlflow-tracking Rutas de acceso de solo lectura que apuntan al contenido escrito por las API internas de Azure Databricks en datos del sistema del área de trabajo.
Ruta de acceso del sistema dbfs:/databricks-datasets/ Colección de solo lectura de conjuntos de datos montados de forma predeterminada en espacios de trabajo de Azure Databricks. Consulte Examinar conjuntos de datos de Databricks montados en DBFS.

El dbfs: prefijo (esquema URI) es opcional y se puede omitir en la mayoría de los casos. Consulte ¿Necesito proporcionar un esquema de URI para acceder a los datos?.

¿Cuándo puede deshabilitar la raíz y los montajes de DBFS?

Puede deshabilitar DBFS en cualquier momento. Sin embargo, si los flujos de trabajo existentes siguen dependiendo de él, pueden interrumpirse. Databricks recomienda deshabilitar la raíz de DBFS y los montajes en entornos no críticos solo después de:

  • Ha migrado todos los flujos de trabajo que dependen de la raíz o los montajes de DBFS a volúmenes de Catálogo de Unity, ubicaciones externas o archivos del área de trabajo.
  • Has actualizado todos los trabajos y clústeres a Databricks Runtime 13.3 LTS o superior.

Note

Antes de continuar, puede usar los scripts de observabilidad para buscar el uso restante de la raíz y montajes de DBFS.

Deshabilitar la raíz y los puntos de montaje de DBFS

Puede deshabilitar la raíz y los montajes de DBFS en áreas de trabajo nuevas y existentes.

Como administrador del área de trabajo, siga estos pasos para deshabilitar la raíz y los montajes de DBFS:

  1. Inicie sesión en su área de trabajo de Azure Databricks.

  2. Haga clic en el icono de perfil de usuario en la esquina superior derecha y seleccione Configuración.

  3. Vaya al administrador del área de trabajo y haga clic en Seguridad.

  4. Establezca Deshabilitar raíz de DBFS y montajes en Deshabilitado: no se pueden usar raíz de DBFS y montajes.

  5. Espere hasta 20 minutos para que la configuración surta efecto.

  6. Reinicie todos los clústeres en ejecución.

    • Retraso de propagación: la raíz de DBFS puede tardar hasta 20 minutos en propagarse completamente.
    • Reinicio del clúster: todos los procesos de uso completo y los almacenes de SQL deben reiniciarse MANUALmente , esto debe realizarse después del tiempo de propagación de 20 minutos para que los cambios surtan efecto. Si no se reinician, estos clústeres seguirán pudiendo acceder a la raíz y los montajes de DBFS.

    Consulte Ejemplo de notebook: Buscar cálculos de larga duración para obtener un ejemplo para identificar y reiniciar el proceso multiuso.

  • Last updated on