IRAP コンプライアンス制御
IRAP コンプライアンス コントロールは、ワークスペースの Infosec Registered Assessors Program (IRAP) コンプライアンスに役立つ拡張機能を提供します。
IRAPは、オーストラリア政府に高品質の情報通信技術(ICT)セキュリティ評価サービスを提供しています。 IRAP は、オーストラリア政府のセキュリティ要件に対する組織のセキュリティ管理の実装と有効性を評価するためのフレームワークを提供します。 Databricks は IRAP 認定を受けています。
IRAP コンプライアンスコントロールでは、モニタリングエージェントの追加、ノード間暗号化のインスタンスタイプの適用、強化されたコンピュートイメージの提供、およびその他の機能を提供する コンプライアンスセキュリティプロファイル を有効にする必要があります。 技術的な詳細については、「 コンプライアンス セキュリティ プロファイル」を参照してください。 影響を受ける各ワークスペースでコンプライアンス セキュリティ プロファイルが有効になっていることを確認し、IRAP がコンプライアンス プログラムとして追加されていることを確認するのは、お客様の責任です。
IRAP コンプライアンス制御は、 ap-southeast-2
リージョンでのみ使用できます。
セキュリティを強化するコンピュート リソース
コンプライアンス セキュリティ プロファイルの機能強化は、すべてのリージョンの クラシック コンピュート プレーン のコンピュート リソースに適用されます。
IRAP は、サーバレス SQLウェアハウス、ノートブックとワークフロー用のサーバレス コンピュート、ap-southeast-2
のサーバレス DLT パイプラインをサポートしています。 コンプライアンス security profile コンプライアンス標準 with サーバレス コンピュート availabilityを参照してください。
必要条件
-
Databricks アカウントには、強化されたセキュリティとコンプライアンスのアドオンが含まれている必要があります。 詳細については、 価格ページを参照してください。
-
Databricks ワークスペースが
ap-southeast-2
リージョンにあります。 -
Databricks ワークスペースが Enterprise レベルにある。
-
シングル サインオン (SSO) 認証がワークスペースに対して構成されている。
-
ワークスペースで コンプライアンス セキュリティ プロファイル を有効にし、コンプライアンス セキュリティ プロファイル構成の一部として IRAP コンプライアンス標準を追加します。
-
次の VM インスタンスタイプを使用する必要があります。
- 一般用途:
M-fleet
,Md-fleet
,M5dn
,M5n
,M5zn
,M7g
,M7gd
,M6i
,M7i
,M6id
,M6in
,M6idn
- 最適化されたコンピュート:
C-fleet
,C5a
,C5ad
,C5n
,C6gn
,C7g
,C7gd
,C7gn
,C6i
,C6id
,C7i
,C6in
- メモリ最適化:
R-fleet
、Rd-fleet
、R7g
、R7gd
、R6i
、R7i
、R7iz
、R6id
、R6in
、R6idn
- 最適化されたストレージ:
D3
、D3en
、P3dn
、R5dn
、R5n
、I4i
、I3en
- アクセラレーテッドコンピューティング:
G4dn
、G5
、P4d
、P4de
、P5
- 一般用途:
-
ワークスペース名、クラスター名、ジョブ名など、顧客定義の入力フィールドに機密情報が入力されないようにします。
IRAP コンプライアンス制御の有効化
IRAP 標準によって規制されているデータの処理をサポートするようにワークスペースを構成するには、ワークスペースで コンプライアンス セキュリティ プロファイル が有効になっている必要があります。 コンプライアンス・セキュリティー・プロファイルを使用可能にし、PCI-DSS コンプライアンス標準をすべてのワークスペースに追加することも、一部のワークスペースのみに追加することもできます。
コンプライアンス セキュリティ プロファイルを有効にし、既存のワークスペースの IRAP コンプライアンス標準を追加するには、「 既存のワークスペースで強化されたセキュリティとコンプライアンス機能を有効にする」を参照してください。 新しいワークスペースのコンプライアンス セキュリティ プロファイルと IRAP を有効にするようにアカウント レベルの設定を設定するには、「 すべての新しいワークスペースにアカウント レベルのデフォルトを設定する」を参照してください。
-
コンプライアンス セキュリティ プロファイル設定にコンプライアンス標準を追加するだけでなく、Databricks アカウント チームに連絡して、規制対象データを処理する前に追加情報と署名する契約を受け取る必要もあります。
-
ワークスペースのコンプライアンス標準の有効化は永続的であり、後で削除することはできません。
-
お客様は、適用されるすべての法律および規制に対する独自のコンプライアンスを確保する責任を単独で負うものとします。
IRAP Protected 標準に基づくデータ処理でサポートされているプレビュー機能
IRAP Protected規格で規制されている処理データの処理には、次のプレビュー機能がサポートされています。
-
ワークスペース レベルの SCIM プロビジョニングはレガシです。 Databricks では、一般公開されているアカウント レベルの SCIM プロビジョニングを使用することをお勧めします。
-
DLT クローンHive metastoreUnity CatalogAPI
-
資格情報のパススルーは、Databricks Runtime 15.0 以降で非推奨となり、将来の Databricks Runtime バージョンで削除される予定です。 Databricks では、Unity Catalog にアップグレードすることをお勧めします。 Unity Catalog は、アカウント内の複数のワークスペースにわたるデータアクセスを一元的に管理および監査するための場所を提供することで、データのセキュリティとガバナンスを簡素化します。 「Unity Catalog とは」を参照してください。
Databricksは、IRAP Protected規格で規制されているデータの処理を許可していますか?
はい、 要件に準拠している場合は、コンプライアンス セキュリティ プロファイルを有効にし、コンプライアンス セキュリティ プロファイル構成の一部として IRAP コンプライアンス標準を追加します。