コンプライアンス・セキュリティ・プロファイル
このページでは、コンプライアンス・セキュリティ・プロファイル、そのコンプライアンス制御、およびサポートされている機能について説明します。コンプライアンス セキュリティ プロファイルを有効にするには、「 拡張セキュリティとコンプライアンス設定の構成」を参照してください。
コンプライアンス・セキュリティー・プロファイルの概要
コンプライアンス セキュリティ プロファイルを使用すると、追加のモニタリング、ノード間暗号化の強制インスタンス タイプ、強化されたコンピュート イメージ、および Databricks ワークスペースに対するその他の機能と制御が可能になります。
Databricks を使用して、次のコンプライアンス標準で規制されているデータを処理する場合は、コンプライアンス セキュリティ プロファイルを有効にする必要があります。
- C5
- CCCSミディアム(プロテクトB)
- 国防総省 IL5
- FedRAMP High
- FedRAMP Moderate
- HIPAA
- 情報セキュリティ登録評価者プログラム(IRAP)
- 韓国金融安全院(K-FSI)
- PCI-DSS
- ティサックス
- 英国サイバーエッセンシャルプラス
また、コンプライアンス標準に準拠しずに、強化されたセキュリティ機能に対してコンプライアンス セキュリティ プロファイルを有効にすることもできます。
ワークスペースでこの機能を有効にした場合、 価格ページで説明されているように、強化されたセキュリティとコンプライアンスのアドオンに対して課金されます。
- お客様は、適用されるすべての法律および規制に対する独自のコンプライアンスを確保する責任を単独で負うものとします。
- 規制対象データを処理する前に、コンプライアンス セキュリティ プロファイルと適切なコンプライアンス標準が構成されていることを確認する責任は、お客様自身にあります。
- HIPPAを追加する場合、PHIデータを処理する前に、DatabricksとBAA契約を結ぶのはお客様の責任です。
- 外部システムと統合する機能については、機能の構成と使用が該当するコンプライアンス要件を満たしていることを確認する責任はお客様のみが負います。
- ワークスペース名、コンピュート リソース名、タグ、ジョブ名、ジョブ実行名、ネットワーク名、資格情報名、ストレージ アカウント名、 Gitリポジトリ ID または URL などの機密情報がカスタマー定義の入力フィールドに決して入力されていないことを確認する責任はお客様にあります。 これらのフィールドは、コンプライアンス境界外で保存、処理、またはアクセスされる可能性があります。
コンプライアンス・セキュリティ・プロファイルのセキュリティ強化
セキュリティの強化には、次のものが含まれます。
-
次の内容を含む強化されたオペレーティング システム イメージ:
-
クラスタリングの自動更新により、構成可能なメンテナンス期間中に定期的に再起動することで、クラスタリングに最新の更新が反映されるようにします。 「クラスタリングの自動更新」を参照してください。
-
強化されたセキュリティモニタリングには、レビュー可能なログを生成するモニタリングエージェントが含まれます。 「コンピュートプレーンイメージのモニタリングエージェントDatabricksを参照してください。
-
AWSクラスタリングおよびDatabricks SQLSQL ウェアハウスでの Nitro インスタンスタイプの強制的な使用。
-
すべてのエグレス通信は、メタストアとの通信を含め、TLS 1.2 以上を使用します。
Classicおよびサーバレス コンピュートの地域別サポート
コンプライアンス セキュリティ プロファイルは、クラシック プレーンとサーバレス コンピュート プレーンの両方でコンピュート リソースに適用されるコンプライアンス標準を決定します。
クラシック コンピュート リソースは、地域全体の幅広いコンプライアンス標準をサポートします。 サーバレス コンピュート リソース (サーバレスSQLウェアハウス、サーバレス コンピュート for ノートブックおよびワークフロー、およびサーバレスLakeflow Spark宣言型パイプライン) のサポートは、コンプライアンスの標準と地域に応じてさらに制限されています。
次の表に、各コンピュート プレーンでサポートされているコンプライアンス標準と、対応するサポートされているリージョンを示します。
コンプライアンス基準 | クラシックコンピュートプレーンのサポート | サーバレス コンピュート plane support |
|---|---|---|
なし | すべてのリージョン | サーバレスがあるすべての地域 |
C5 | すべてのリージョン | サーバレスがあるすべての地域 |
CCCSミディアム(プロテクトB) |
| なし |
DoD IL5 および FedRAMP High (AWS GovCloud DoD) |
|
|
DoD IL5 および FedRAMP High (AWS GovCloud) |
|
|
FedRAMP Moderate |
|
|
HIPAA | すべてのリージョン | サーバレスがあるすべての地域 |
IRAP |
|
|
K-FSIの |
| なし |
PCI-DSS | すべてのリージョン |
|
ティサックス | すべてのリージョン | サーバレスがあるすべての地域 |
英国サイバーエッセンシャルプラス |
| なし |
† ノートブック、ジョブ、 LakeFlow Spark宣言型パイプラインのサーバーレス コンピュートのパブリック プレビューとサーバーレスSQLウェアハウスのベータ版
サーバレスおよび標準コンピュートの可用性に関するコンプライアンスの標準を参照してください。
詳細については、コンピュート平面アーキテクチャに関する情報については、「 高レベルのアーキテクチャ」を参照してください。
サポートされているプレビュー機能
コンプライアンス セキュリティ プロファイルが有効になっているワークスペースでは、このセクションにリストされているプレビュー機能とベータ機能のみがサポートされます。その他のプレビュー機能またはベータ機能はすべてサポートされていません。
次の表には、サポートされているすべてのプレビュー機能とベータ機能がリストされています。
- コンプライアンス セキュリティ プロファイルを有効にすると、ほとんどの機能がすべてのコンプライアンス標準で利用できるようになります。
- 特定のコンプライアンス規格 (「HIPPA のみ」など) でマークされた機能は、そのコンプライアンス規格で構成されたワークスペースでのみサポートされます。
- 「サーバレス」とマークされた機能は、サーバレス コンピュート プレーンでのみ利用可能です。 「地域別のクラシックおよびサーバレス コンピュートのサポート」を参照してください。
プレビュー機能は、「 機能の可用性」に特に記載されていない限り、AWS GovCloud ではサポートされていません。
機能 | ステータス | コンピュート | 注 |
|---|---|---|---|
パブリックプレビュー | Standard | レガシー機能。「アカウント レベルおよびワークスペース レベルの SCIM プロビジョニング」を参照してください。 | |
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
パブリックプレビュー | Standard | ||
データガバナンスハブ | プライベートプレビュー | Standard | |
パブリックプレビュー | サーバーレス | ||
パブリックプレビュー | サーバーレス | ||
パブリックプレビュー | サーバーレス | ||
パブリックプレビュー | サーバーレス | ||
ベータ版 | サーバーレス | ||
サーバレス 予測 Python SDK | プライベートプレビュー | サーバーレス | |
パブリックプレビュー | Standard | HIPPAのみ | |
パブリックプレビュー | Standard | HIPPAのみ | |
パブリックプレビュー | Standard | HIPPAのみ | |
ベータ版 | サーバーレス | ||
ベータ版 | サーバーレス |