強化されたセキュリティとコンプライアンスの設定を構成する
このページでは、Databricks ワークスペースで強化されたセキュリティとコンプライアンスの設定を構成する方法について説明します。
- コンプライアンス セキュリティ プロファイルの有効化、またはワークスペースへのコンプライアンス標準の追加は、永続的な変更を目的としています。
- 規制対象データを処理したことがある場合、コンプライアンス プロファイルまたは個々の標準をワークスペースから削除することはできません。元に戻すには、ワークスペースを削除し、プロファイルなしまたは別の標準で新しいワークスペースを作成する必要があります。サポートが必要な場合は、Databricks サポートにお問い合わせください。
- PHI を処理する前に、Databricks と BAA 契約を結んでいることを確認してください。
必要条件
- Databricks アカウントには、強化されたセキュリティとコンプライアンスのアドオンが含まれている必要があります。詳細については、 価格ページを参照してください。
- Databricks ワークスペースは Enterprise 価格レベルです。
コンプライアンス・セキュリティー・プロファイルの要件
-
シングル サインオン (SSO) 認証がワークスペースに対して構成されている。
-
Databricks ワークスペース ストレージ バケットの名前にピリオド文字 (
.
) を含めることはできません (例:my-bucket-1.0
)。既存のワークスペース ストレージ バケットの名前にピリオドが含まれている場合は、コンプライアンス セキュリティ プロファイルを有効にする前に、Databricks アカウント チームにお問い合わせください。 -
必要なネットワークポートを追加する必要があります。必要なネットワーク ポートは、 PrivateLink が従来のコンピュート プレーンへのプライベート接続に対して有効になっているかどうかによって異なります。
- PrivateLink が有効 : FIPS 暗号化のためにポート 2443 での 双方向 アクセスを許可するように、ネットワーク セキュリティ グループを更新します。「 VPC の作成」を参照してください。
- PrivateLink が有効になっていない : FIPS エンドポイントをサポートするために、ポート 2443 で の送信 アクセスを許可します。「セキュリティグループ」を参照してください。
-
ワークスペースが
us-east-1
、us-east-2
、us-west-1
、us-west-2
、またはca-central-1
リージョンにあり、アウトバウンドトラフィックを制限している場合、FIPS をサポートするために追加の S3 エンドポイントへのアクセスを許可する必要があります。これは S3 にのみ適用されます。AWS は、STS または Kinesis の FIPS エンドポイントを提供していません。- 送信トラフィックの
s3.<region>.amazonaws.com
とs3-fips.<region>.amazonaws.com
を許可します。たとえば、s3.us-east-1.amazonaws.com
やs3-fips.us-east-1.amazonaws.com
などです。
- 送信トラフィックの
サポートされているインスタンスタイプ
インスタンスタイプは、クラスタリングノード間のハードウェア実装ネットワーク暗号化とローカルディスクの保管時の暗号化の両方を提供するものに限定されます。 FIPS モードを強制するコンプライアンス標準も Graviton インスタンスをサポートしておらず、AWS GovCloud はフリートインスタンスをサポートしていません。
-
HIPPA、PCI-DSS、K-FSI、および UK Cyber Essentials Plus でサポートされているインスタンスタイプは次のとおりです。
- 汎用:
M-fleet
、Md-fleet
、M5dn
、M5n
、M5zn
、M7g
、M7gd
、M6i
、M7i
、M6id
、M6in
、M6idn
- 最適化されたコンピュート:
C-fleet
,C5a
,C5ad
,C5n
,C6gn
,C7g
,C7gd
,C7gn
,C6i
,C6id
,C7i
,C6in
- メモリ最適化:
R-fleet
、Rd-fleet
、R7g
、R7gd
、R6i
、R7i
、R7iz
、R6id
、R6in
、R6idn
- 最適化されたストレージ:
D3
、D3en
、P3dn
、R5dn
、R5n
、I4i
、I3en
- アクセラレーテッドコンピューティング:
G4dn
、G5
、P4d
、P4de
、P5
- 汎用:
-
FedRAMP Moderate、IRAP、および CCCS Medium (Protected B) でサポートされているインスタンスタイプは次のとおりです。
- 汎用:
M-fleet
、Md-fleet
、M5dn
、M5n
、M5zn
、M6i
、M7i
、M6id
、M6in
、M6idn
- コンピュート最適化:
C-fleet
,C5a
,C5ad
,C5n
,C6i
,C6id
,C7i
,C6in
- メモリ最適化:
R-fleet
、Rd-fleet
、R6i
、R7i
、R7iz
、R6id
、R6in
、R6idn
- 最適化されたストレージ:
D3
、D3en
、P3dn
、R5dn
、R5n
、I4i
、I3en
- アクセラレーテッドコンピューティング:
G4dn
、G5
、P4d
、P4de
、P5
- 汎用:
-
DoD IL5 と FedRAMP High でサポートされているインスタンスタイプは次のとおりです。
- 汎用:
M5dn
、M5n
、M5zn
、M6i
、M7i
、M6id
、M6in
、M6idn
- コンピュート最適化:
C5a
,C5ad
,C5n
,C6i
,C6id
,C7i
,C6in
- メモリ最適化:
R6i
、R7i
、R7iz
、R6id
、R6in
、R6idn
- 最適化されたストレージ:
D3
、D3en
、P3dn
、R5dn
、R5n
、I4i
、I3en
- アクセラレーテッドコンピューティング:
G4dn
、G5
、P4d
、P4de
、P5
- 汎用:
-
ワークスペース名、クラスタリング名、タグ、ジョブ名など、顧客定義の入力フィールドに機密情報が入力されないようにします。
Databricks Assistant は、コンプライアンス セキュリティ プロファイルを有効にしたワークスペースのデフォルトによって無効になります。ワークスペース管理者は、 アカウントの場合: パートナーが提供する AI 機能を無効または有効にする手順に従って有効にできます。
既存のワークスペースで有効にする
アカウント 管理者は、コンプライアンス セキュリティ プロファイルの有効化、コンプライアンス標準の追加、拡張セキュリティ監視の有効化、およびワークスペースでの自動クラスター更新の有効化を行うことができます。
コンプライアンス セキュリティ プロファイルのネットワーク要件を確認する
コンプライアンス セキュリティ プロファイルを有効にする場合は、上記の要件に従ってネットワーク アクセスを更新した後、次のテストで接続と構成を確認します。
-
DBFSアクセス : テスト クラスタリングにアタッチされたノートブックで、次を実行します。
Bash%fs ls /
%sh ls /dbfs両方のコマンドがエラーなしでファイルリストを返すことを確認します。
-
コントロール プレーン アクセス :
nc
を使用して、ポート 443 でリージョンの Web アプリ ドメインへの接続をテストします。例えば:Bash%sh nc -zv oregon.cloud.databricks.com 443
-
SCC リレー アクセス :
-
PrivateLink が有効になっていない場合は 、ポート 2443 を使用します。
Bash%sh nc -zv <scc-relay-domain-name> 2443
-
PrivateLink が有効になっている場合は 、ポート 6666 を使用します。
Bash%sh nc -zv <scc-relay-for-privatelink-domain-name> 6666
-
-
S3 FIPS エンドポイント アクセス (
us-east-1
、us-east-2
、us-west-1
、us-west-2
、またはca-central-1
のみ):Bash%sh nc -zv <bucket-name>.s3-fips.<region>.amazonaws.com 443
-
Spark の構成 : Spark が正しいエンドポイントを使用していることを確認します。
Python>>> spark.conf.get("fs.s3a.stsAssumeRole.stsEndpoint")
"sts.us-west-1.amazonaws.com"
>>> spark.conf.get("fs.s3a.endpoint")
"s3-fips.us-west-2.amazonaws.com"
強化されたセキュリティとコンプライアンスの設定を有効にする
-
コンピュートが動いているか確認します。 重要なジョブが実行されていないことを確認します。コンプライアンス セキュリティ プロファイルまたは自動クラスタリング更新を有効にすると、クラスタリングが自動的に再開されます。
-
アカウント管理者として、アカウントコンソールに移動します。
-
「 ワークスペース」 をクリックします。
-
ワークスペースの名前をクリックします。
-
[セキュリティとコンプライアンス ] をクリックします。
-
コンプライアンス セキュリティ プロファイルを有効にするには、[ コンプライアンス セキュリティ プロファイル ] の横にある [有効化] をクリックします。
[コンプライアンス セキュリティ プロファイル] ダイアログで、必要に応じて [コンプライアンス標準] を選択し、 [保存] を クリックします。
PHI データを処理する 前に 、Databricks と BAA 契約を結んでいる必要があります。コンプライアンス セキュリティ プロファイルで HIPPA を有効にしても、この要件は置き換えられません。
-
拡張セキュリティモニタリングを有効にするには、[ 拡張セキュリティモニタリング ]チェックボックスを選択します。
コンプライアンス セキュリティ プロファイルを有効にすると、拡張セキュリティ モニタリングが自動的に有効になります。
-
クラスターの自動更新を有効にするには、[ 自動クラスター更新 ] チェックボックスをオンまたはオフにします。
コンプライアンス セキュリティ プロファイルを有効にすると、自動クラスター更新が自動的に有効になります。
すべての新しいワークスペースにアカウントレベルのデフォルトを設定する
アカウント 管理者は、セキュリティ プロファイル (コンプライアンス スタンダードを使用) またはアカウント レベルでの強化セキュリティ モニタリングの設定を構成して、すべての新しいワークスペースに適用できます。 コンプライアンス セキュリティ プロファイルを新しいワークスペースのデフォルトとして有効にすると、新しいワークスペースに対して強化されたセキュリティ モニタリングと自動クラスター更新も有効になります。
-
アカウント管理者として、アカウントコンソールに移動します。
-
サイドバーで、「 設定 」をクリックします。
-
[セキュリティとコンプライアンス ] タブをクリックします。
-
サイドバーで、「 セキュリティ強化とコンプライアンス設定 」をクリックします。
-
コンプライアンス セキュリティ プロファイルを有効にするには、[ コンプライアンス セキュリティ プロファイル ] の横にある [構成 ] をクリックします。
「新規ワークスペースのコンプライアンス・セキュリティー・プロファイル 」ダイアログで、「 使用可能 」を選択し、1つまたはコンプライアンス標準を選択するか、「 なし 」を選択して 「保存 」をクリックします。
-
拡張セキュリティモニタリングを有効にするには、 新しいワークスペースの拡張セキュリティモニタリング のチェックボックスを選択します。
ワークスペースのデプロイ中にコンプライアンス設定を有効にする
アカウント 管理者は、ワークスペースの作成時に、コンプライアンス セキュリティ プロファイルを有効にし、コンプライアンス標準を追加し、強化されたセキュリティ監視を有効にすることができます。 新しいワークスペースは、構成されたアカウント レベルのデフォルトに従う必要があります。
- 「カスタム AWS 設定を使用してワークスペースを作成する」の手順に従ってワークスペースを作成します。コンプライアンス標準をサポートするリージョンを選択していることを確認します。
- [詳細設定 ] をクリックします。
- コンプライアンス セキュリティ プロファイルを有効にするには、[ コンプライアンス セキュリティ プロファイル ] チェック ボックスをオンにします。
- 拡張セキュリティモニタリングを有効にするには、[ 拡張セキュリティモニタリング ]チェックボックスを選択します。
- [コンプライアンス標準 ] で、1 つ以上のコンプライアンス標準を選択するか、 [ なし ] を選択します。
- 「次へ 」をクリックし、「 ワークスペースを作成 」をクリックします。
コンプライアンス セキュリティ プロファイルがワークスペースに対して有効になっていることを確認します
ワークスペースがコンプライアンス セキュリティ プロファイルを使用していることは、アカウント コンソールのワークスペース ページの [セキュリティとコンプライアンス ] タブで確認できます。
ワークスペースには、ワークスペース UI にシールド ロゴも表示されます。シールドのロゴは、ページの右上、ワークスペース名の右側に表示されます。ワークスペース名をクリックすると、アクセス権のあるワークスペースのリストが表示されます。 コンプライアンス セキュリティ プロファイルを有効にするワークスペースには、シールド アイコンがあります。
コンプライアンス セキュリティ プロファイルが有効になっているワークスペースでシールド アイコンが見つからない場合は、Databricks アカウント チームにお問い合わせください。