暗号化用の顧客管理キー

注記

この機能には Enterprise レベルが必要です。

このページでは、顧客が管理する暗号化キーの概要について説明します。 一部のサービスとデータでは、暗号化されたデータへのアクセスを保護および制御するために、顧客管理キーの追加がサポートされています。 クラウドのキー管理サービスを使用して、顧客管理の暗号化キーを管理できます。

キーを構成する方法については、暗号化用に顧客管理キーを構成するを参照してください。

顧客管理キーの使用例

Databricks には、さまざまな種類のデータと場所を含む 2 つの顧客管理の主要なユースケースがあります。

• マネージドサービス: Databricksノートブック、シークレット、SQL クエリデータ、およびデフォルトストレージ に格納されているデータなど、 コントロールプレーン 内のデータ。
• ワークスペース ストレージ : ワークスペース ストレージ バケット ( DBFSルートを含む) と EBS ボリューム コンピュート リソース クラシック コンピュート プレーン。 デフォルトのストレージには適用されません。

Unity Catalog では、KMS 暗号化が有効になっている S3 バケットの読み取りと書き込みを行う機能もサポートされています。「AWS S3 バケットにアクセスするストレージ認証情報の作成」を参照してください。

注記

サーバレス ワークスペース (パブリックプレビュー) では、マネージドサービスのキーを設定するだけで、ワークスペースストレージとルートストレージに適用されます。

マネージドサービスのための顧客管理キー

Databricks コントロール プレーン内のマネージド サービス データは、保存時に暗号化されます。マネージドサービスに顧客管理キーを追加すると、次のタイプの暗号化データへのアクセスを保護および制御できます。

• Databricks コントロール プレーン内のノートブック ソース。
• ノートブック コントロールプレーンに格納されている対話型 (ジョブとしてではない) 実行のノートブック結果。 デフォルトでは、より大きな結果もワークスペースのルートバケットに保存されます。 すべての 対話型ノートブックの結果をクラウドアカウントに保存するように Databricks を構成できます。
• Databricks シークレットに格納されているシークレット。
• AI/BI ダッシュボード。
• AI/BI Genie スペース。
• Databricks SQL クエリとクエリ履歴。
• 個人用アクセス トークン (PAT) または Databricks Git フォルダーとの Git 統合を設定するために使用されるその他の資格情報。
• ベクトル検索のインデックスとメタデータ。

注記

サーバレス ワークスペースは デフォルトストレージを使用するため、マネージドサービスのユースケースは、ジョブ結果、 Databricks SQLの結果、ノートブックリビジョン、その他のワークスペースデータを含むワークスペースストレージとルートストレージにも適用されます。

マネージドサービスの顧客管理キーを構成するには、「 暗号化用の顧客管理キーの構成」を参照してください。

重要

2024 年 11 月 1 日以降に作成された AI/BI ダッシュボードのみが暗号化され、顧客管理キーと互換性があります。

ワークスペース ストレージのための顧客管理キー

ワークスペースストレージに顧客管理キーを追加して、次のタイプの暗号化データへのアクセスを保護および制御できます。

• ワークスペース ストレージ バケット : ワークスペース ストレージ暗号化キーを追加すると、Databricks は、ワークスペースのセットアップ時に指定した AWS アカウントの Amazon S3 バケット (ワークスペース ストレージ バケットと呼ばれる) 上のデータを暗号化します。このバケットにはDBFSルートが含まれており、これにはDBFSルート ( DBFSマウントではない) 内の FileStore 領域、 MLflowモデル、およびLakeFlow Spark宣言型パイプライン データが含まれます。 バケットには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、その他のワークスペース データを含むワークスペース システム データも含まれます。詳細については、 「ストレージ構成の作成」を参照してください。
• クラスタリングの EBS ボリューム (オプション): Databricks Runtimeクラシックコンピュートプレーン 内の クラスタリングノードおよびその他のコンピュートリソースの場合、オプションでキーを使用して VM のリモート EBS ボリュームを暗号化できます。

注記

この機能は DBFSルートに影響しますが、追加の DBFS マウントでデータを暗号化するためには使用されません。S3 DBFS マウントの場合、他の方法を使用して、キーを使用して暗号化されたデータを書き込むことができます。詳細については、「S3 バケット内のデータを暗号化する」を参照してください。マウントは、従来のアクセス パターンです。Databricks では、すべてのデータ アクセスの管理に Unity Catalog を使用することをお勧めします。「Unity Catalog を使用してクラウド オブジェクト ストレージに接続する」を参照してください。

顧客管理キーのユースケースの比較

次の表は、カスタマーマネージドキー機能がどのタイプのデータに使用されるかを示しています。

注記

暗号化のユースケースは、ワークスペースのタイプによって異なります。サーバレス ワークスペース は、マネージドサービス ユースケースのみを使用します。

データのタイプ	場所	使用するカスタマーマネージドキー機能
AI/BIダッシュボード	コントロールプレーン	マネージドサービス
ノートブックのソースとメタデータ	コントロールプレーン	マネージドサービス
個人用アクセス トークン (PAT) または Git と Databricks Git フォルダーの統合に使用されるその他の資格情報	コントロールプレーン	マネージドサービス
シークレットマネージャー によって保存されたシークレットAPI	コントロールプレーン	マネージドサービス
Databricks SQL クエリとクエリ履歴	コントロールプレーン	マネージドサービス
ベクトル検索 インデックスとメタデータ	サーバレス コンピュート プレーン	マネージドサービス
Databricks Runtimeクラスターノードおよびその他のコンピューティングリソース用のリモートEBSボリューム 。	クラシック ワークスペース: AWSアカウントのクラシック コンピュート プレーン サーバレス ワークスペース: 該当なし (サーバレス コンピュートでは保存が一時的です)	クラシックワークスペース:ワークスペース ストレージ サーバレス ワークスペース: 該当なし
ルートストレージデータ	クラシック ワークスペース: アカウントのワークスペースDBFS ストレージ バケット内のAWS ルート。これには、FileStore 領域も含まれます。 サーバレス ワークスペース: ワークスペースのデフォルトストレージ	クラシックワークスペース:ワークスペース ストレージ サーバレス ワークスペース: マネージドサービス
ジョブ 結果	クラシック ワークスペース: AWSアカウントのワークスペース ストレージ バケット サーバレス ワークスペース: ワークスペースのデフォルトストレージ	クラシックワークスペース:ワークスペース ストレージ サーバレス ワークスペース: マネージドサービス
Databricks SQL クエリ結果	クラシック ワークスペース: AWSアカウントのワークスペース ストレージ バケット サーバレス ワークスペース: ワークスペースのデフォルトストレージ	クラシックワークスペース:ワークスペース ストレージ サーバレス ワークスペース: マネージドサービス
MLflowモデル	クラシック ワークスペース: AWSアカウントのワークスペース ストレージ バケット サーバレス ワークスペース: ワークスペースのデフォルトストレージ	クラシックワークスペース:ワークスペース ストレージ サーバレス ワークスペース: マネージドサービス
Lakeflow Spark宣言型パイプライン	クラシック ワークスペース: DBFSルートでDBFSパスを使用する場合、これはAWSアカウントのワークスペース ストレージ バケットに保存されます。 これは、他のデータソースへのマウント ポイントを表すDBFSパスには適用されません。 サーバレス ワークスペース: ワークスペースのデフォルトストレージ	クラシックワークスペース:ワークスペース ストレージ サーバレス ワークスペース: マネージドサービス
対話型ノートブックの結果	Classic ワークスペース: 安心して、ノートブックを (ジョブとしてではなく) インタラクティブに実行すると、結果はパフォーマンスのためにコントロール プレーンに保存され、一部の大きな結果はAWSアカウントのワークスペース ストレージ バケットに保存されます。 すべてのインタラクティブノートブックの結果を AWS アカウントに保存するように Databricks を構成することもできます。 サーバレス ワークスペース: ワークスペースのデフォルトストレージ	クラシック ワークスペース: コントロール プレーンの部分的な結果については、マネージド サービスの顧客管理キーを使用します。 ワークスペース ストレージ バケット内の結果については、すべての結果ストレージに対して構成でき、ワークスペース ストレージのカスタマー管理キーを使用します。 サーバレス ワークスペース: マネージドサービス

サーバレス コンピュートと顧客管理キー

Databricks SQL サーバレスとサーバレス コンピュートのサポート:

• マネージドサービスのキー ( Databricks SQL クエリ、クエリ履歴、ノートブック ソースとメタデータ、ベクトル検索インデックスとメタデータなど)。
• Databricks SQL とノートブックの結果のルート ストレージを含むワークスペース ストレージ キー。

サーバレス コンピュート リソースのディスクは存続期間が短く、サーバレス ワークロードのライフサイクルに関連付けられているため、リモート EBS ボリュームの暗号化はサーバレス コンピュートには適用されません。 サーバレス コンピュート リソースが停止またはスケールダウンされると、VM とそのストレージは破棄されます。

モデルサービング

サーバレスコンピュートの機能である モデルサービング のリソースは一般的に次の 2 つのカテゴリに分類されます。

• モデル用に作成したリソースは、ワークスペースのルートストレージに格納されます。これには、モデルのアーティファクトとバージョンメタデータが含まれます。ワークスペース モデルレジストリと MLflow の両方がこのストレージを使用します。 顧客管理キーを使用するようにこのストレージを構成できます。
• Databricksがユーザーに代わって直接作成するリソースには、モデルイメージと一時的なサーバレスコンピューティングストレージが含まれます。これらはDatabricksが管理するキーで暗号化されており、カスタマーマネージドキーはサポートされていません。