データのセキュリティと暗号化
この記事では、データの保護に役立つデータ セキュリティ構成について説明します。
データへのアクセスの保護に関する情報については、「Databricksによるデータガバナンス」を参照してください。
データのセキュリティと暗号化の概要
Databricks には、データの保護に役立つ暗号化機能が用意されています。 すべてのセキュリティ機能がすべての価格レベルで使用できるわけではありません。 次の表に、機能の概要と、それらが価格プランにどのように適合するかを示します。
機能 | 価格プラン |
|---|---|
暗号化用のカスタマー マネージド キー | Premium |
暗号化のための顧客管理キーの有効化
-
マネージドサービスの顧客管理キー : Databricks コントロール プレーン内のマネージドサービス データは、保存時に暗号化されます。 マネージドサービスに顧客管理キーを追加すると、次のタイプの暗号化データへのアクセスを保護および制御できます。
- コントロールプレーンに保存されているノートブックのソースファイル。
- コントロールプレーンに保存されているノートブックの結果。
- シークレット マネージャーによって保存されたシークレット API.
- Databricks SQL クエリとクエリ履歴。
- Databricks Git フォルダーとの Git 統合をセットアップするために使用される個人アクセストークンまたはその他の資格情報。
-
ワークスペース ストレージの顧客管理キー : Databricks では、データへのアクセスを保護および制御するために、ワークスペース ストレージに顧客管理キーを追加することがサポートされています。 ワークスペースの作成時に指定した Google Cloud プロジェクトに関連付けられた GCS バケット上のデータを暗号化するように、独自のキーを構成できます。同じキーは、クラスタリングの GCE 永続ディスクの暗号化にも使用されます。
Databricks でさまざまな種類のデータを保護する顧客管理キー機能の詳細については、暗号化のための顧客管理のキーを参照してください。
クラスター ワーカー ノード間のトラフィックを暗号化する
デフォルトでは、クラスター内のワーカー ノード間で交換されるデータは暗号化されます。 Google は、Google が管理していない、または Google に代わってデータが物理的な境界外に移動する場合、1 つ以上のネットワーク層で転送中のデータを暗号化します。 VPC ネットワークおよびピアリングされた VPC ネットワーク内のすべての VM 間トラフィックは暗号化されます。 詳しくは、Google のホワイトペーパー「 転送中の暗号化」をご覧ください。
ワークスペースの設定を管理する
Databricks ワークスペース管理者は、ノートブックのダウンロード機能やユーザー分離クラスターアクセス モードの適用など、ワークスペースのセキュリティ設定を管理できます。 詳細については、「 ワークスペースの管理」を参照してください。