Partager via

Désactiver l’accès à la racine et aux montages DBFS dans votre espace de travail Azure Databricks existant

Cette page explique comment désactiver l'accès à la racine et aux montages du système de fichiers Databricks (DBFS) hérité dans les espaces de travail Azure Databricks existants. Pour désactiver la racine DBFS et les montages au niveau du compte pour les nouveaux espaces de travail, utilisez le paramètre Désactiver le compte de fonctionnalités héritées .

Une fois que vous avez migré vos flux de travail basés sur des fichiers vers des volumes de catalogue Unity, des emplacements externes ou des fichiers d’espace de travail, vous pouvez empêcher les utilisateurs de charger, de modifier ou d’accéder aux données dans des montages DBFS racines et DBFS. La désactivation de la racine et des montages DBFS renforce votre posture de sécurité en supprimant l’accès au stockage partagé qui n’est pas régi par Unity Catalog.

Que sont la racine et les montages DBFS ?

DBFS est un système de fichiers distribué dans l'espace de travail Databricks, accessible sous le schéma d'URI dbfs: et utilisé pour interagir avec le stockage cloud. Le dbfs: schéma d’URI est utilisé pour accéder à plusieurs zones de stockage dans un espace de travail, notamment :

  • Racine DBFS : zone accessible directement sous la racine du système de fichiers, par exemple, lorsque vous tapez dbfs:/. Tous les utilisateurs de l’espace de travail peuvent accéder au contenu créé directement sous la racine DBFS, à l’exception du contenu sous l’un des préfixes réservés ci-dessous, chacun soumis à des conditions spéciales. Voir quelle est la racine DBFS ?.
  • Montages DBFS : approche héritée de la définition de l’accès au stockage cloud externe, accessible sous dbfs:/mnt/<mount_name>. Consultez Monter le stockage d’objets.
  • Préfixes Azure Databricks réservés : préfixes utilisés par les volumes Unity Catalog et d’autres chemins système Azure Databricks, tels que dbfs:/databricks-datasets/ et les chemins d’accès des ressources MLflow. Par exemple : dbfs:/Volumes/.

Tous les chemins d’accès sont également accessibles à l’aide de chemins de style POSIX. Voir Dois-je fournir un schéma d’URI pour accéder aux données ?.

Pour plus d’informations sur DBFS, notamment la racine et les montages DBFS, consultez Qu’est-ce que DBFS ?

Qu’est-ce qui est désactivé ?

Après avoir désactivé le répertoire racine et les points de montage DBFS :

  • Tous les accès à la racine et aux montages DBFS dans les espaces de travail existants sont désactivés et bloqués sur toutes les interfaces (interface utilisateur, API, CLI, FUSE).
  • Les tentatives de lire ou d’écrire des fichiers depuis la racine du DBFS et les montages échouent en raison d'une erreur. Par exemple, le message d’erreur de la racine DBFS publique est désactivé.
  • Le navigateur DBFS et l’option Charger vers DBFS ne sont plus accessibles à partir de l’interface utilisateur. Les tâches, les notebooks ou les scripts qui référencent la racine et les montages DBFS échouent, sauf si le paramètre est rétabli.
  • L’option DBFS n’est plus accessible à partir de fonctionnalités courantes telles que :
    • Bibliothèques de cluster
    • Remise de journal de cluster
    • Suivi MLflow/registres de modèles (non UC)
    • Expériences AutoML
    • Pipelines déclaratifs Lakeflow Spark
  • L’incorporation de fichiers de notebook statiques à l’aide de /files échoue avec une erreur 500. Consultez Incorporer des images statiques dans des notebooks.
  • Les opérations de montage/démontage sont bloquées.
  • Les opérations FileStore sont bloquées.
  • La désactivation de la racine et des montages DBFS dans votre espace de travail désactive également les versions databricks Runtime inférieures à 13.3 LTS.

Note

Dans les espaces de travail désactivés par DBFS, le dbfs:/Workspace chemin d’accès fournit l’accès aux fichiers dans le système de fichiers de l’espace de travail. Cela nécessite Databricks Runtime 13.3 LTS ou versions ultérieures.

Qu’est-ce qui n’est pas affecté ?

Le schéma d’URI dbfs: reste central pour Azure Databricks, et la désactivation du DBFS racine et des montages DBFS ne désactive pas l’URI dbfs: en lui-même. Les éléments suivants continuent à fonctionner comme prévu :

Note

Les données préexistantes sous la racine et les montages DBFS ne sont pas supprimées. Si la racine et les montages DBFS sont réactivés à l’aide du paramètre Réactiver la racine DBFS et les montages au niveau de l’espace de travail, les données sont à nouveau accessibles.

Voici quelques exemples de chemins qui restent accessibles et qui ne sont pas affectés par la désactivation de la racine et des montages DBFS :

Category Path Description
Volumes Unity Catalog dbfs:/Volumes/<catalog>/<schema>/<volume>/<path>/<file_name> Réservé aux volumes UC et accessible uniquement par le biais d'API spécifiques à l'UC et soumis aux règles de gouvernance UC. Pour plus d’informations, consultez Chemin d’accès aux fichiers dans un volume.
Chemin d’accès système dbfs:/databricks/mlflow-registry dbfs:/databricks/mlflow-tracking Chemins d’accès en lecture seule pointant vers du contenu écrit par les API internes d’Azure Databricks dans les données système de l’espace de travail.
Chemin d’accès système dbfs:/databricks-datasets/ Collection en lecture seule de jeux de données montés par défaut dans les espaces de travail Azure Databricks. Consultez Parcourir les jeux de données Databricks montés sur DBFS.

Le dbfs: préfixe (schéma d’URI) est facultatif et peut être omis dans la plupart des cas. Voir Dois-je fournir un schéma d’URI pour accéder aux données ?.

Quand pouvez-vous désactiver la racine DBFS et les points de montage ?

Vous pouvez désactiver DBFS à tout moment. Toutefois, si les flux de travail existants dépendent toujours de celui-ci, ils peuvent s’interrompre. Databricks recommande de désactiver la racine et les montages DBFS dans des environnements non critiques uniquement après :

  • Vous avez migré tous les flux de travail qui s’appuient sur la racine ou les montages DBFS vers des volumes de catalogue Unity, des emplacements externes ou des fichiers d’espace de travail.
  • Vous avez mis à niveau l'ensemble des tâches et clusters vers Databricks Runtime 13.3 LTS ou version ultérieure.

Note

Avant de continuer, vous pouvez utiliser les scripts d’observabilité pour rechercher l’utilisation restante de la racine DBFS et des montages.

Désactiver la racine et les montages DBFS

Vous pouvez désactiver la racine et les montages DBFS dans les espaces de travail existants et nouveaux.

En tant qu’administrateur d’espace de travail, procédez comme suit pour désactiver la racine et les montages DBFS :

  1. Connectez-vous à votre espace de travail Azure Databricks.

  2. Cliquez sur l’icône de votre profil utilisateur dans le coin supérieur droit, puis sélectionnez Paramètres.

  3. Accédez à l’administrateur de l’espace de travail, puis cliquez sur Sécurité.

  4. Définissez Désactiver la racine DBFS et les montagessur Désactivé : la racine et les montages DBFS ne peuvent pas être utilisés.

  5. Attendez jusqu’à 20 minutes pour que le paramètre prenne effet.

  6. Redémarrez tous les clusters en cours d’exécution.

    • Délai de propagation : la propagation peut prendre jusqu’à 20 minutes pour que la racine DBFS et la désactivation des montages soient propagées entièrement.
    • Redémarrage du cluster : tout calcul à usage unique et les entrepôts SQL doivent être redémarrés MANUELLEment , cela doit être effectué après le temps de propagation de 20 minutes pour que les modifications prennent effet. S’ils ne sont pas redémarrés, ces clusters continueront à accéder à la racine et aux montages DBFS.

    Consultez Exemple de notebook : rechercher un calcul de longue durée pour obtenir un exemple permettant d'identifier et de redémarrer les calculs à usage général de longue durée.

  • Last updated on