暗号化のための顧客管理キーの構成
プレビュー
この機能は パブリック プレビュー段階です。
アカウント 管理者は、 Databricks アカウント コンソールを使用して、暗号化用の顧客管理キーを構成できます。 また、アカウント Key Configurations APIを使用して、顧客管理のキーを設定することもできます。
顧客管理キーの追加には、次の 2 つの Databricks ユースケースがあります。
-
Databricksコントロールプレーン内のマネージドサービスデータ (ノートブック、シークレット、Databricks SQLクエリデータ)。
-
ワークスペース ストレージ (2 つのワークスペース ストレージ バケットとコンピュート リソースの GCE 永続ディスク ボリューム)。
顧客管理キーのユースケースを比較するには、「 顧客管理キーのユースケースの比較」を参照してください。
この機能には Premium プランが必要です。
暗号化キーの設定とは何ですか?
顧客管理キーは、暗号化キー構成で管理されます。 暗号化キーの設定は、クラウドのキーを参照するアカウントレベルのオブジェクトです。
アカウント admins は、アカウントコンソールで暗号化キーの設定を作成し、暗号化キーの設定を 1 つ以上のワークスペースにアタッチできます。
Databricks キー設定オブジェクトは、2 つの異なる暗号化ユースケース (マネージドサービスとワークスペースストレージ) 間で共有できます。
暗号化キーの構成を Databricks ワークスペースに追加できるのは、ワークスペースの作成時にのみです。
ステップ 1: Cloud KMS でキーを作成または選択する
ワークスペース ストレージとマネージドサービスのユースケース間で同じ Cloud KMS キーを使用できます。
- Cloud KMS で対称鍵を作成または選択します。対称 暗号鍵を作成するの手順に沿って操作します。 Cloud KMS キーは、ワークスペースと同じリージョンにある必要があります。
- KMS キーの [リソース名 ] をコピーします。
ステップ 2: 新しいキー構成を作成する
Databricks アカウント コンソールを使用して、Databricks 暗号化キー構成オブジェクトを作成します。
-
アカウント管理者として、アカウントコンソールにログインします。
-
サイドバーで、 [クラウドリソース ] をクリックします。
-
[暗号化キーの設定 ] タブをクリックします。
-
[ 暗号化キーの追加 ] をクリックします。
-
この暗号化キーの使用例を選択します。
- マネージドサービスとワークスペースストレージの両方
- マネージドサービス
- ワークスペースストレージ
-
[ KMS キー ID ] フィールドに、上記でコピーしたリソース名を入力します。
-
[ 追加 ] をクリックします。
ステップ 3: 新しいワークスペースを作成する
作成した暗号化キー構成を使用してワークスペースを作成します。 暗号化キー構成でワークスペースを作成するには、Cloud KMS キーに対する Google の権限 cloudkms.cryptoKeys.getIamPolicy と cloudkms.cryptoKeys.setIamPolicy が必要です。
このセクションでは、ワークスペースを作成するためのすべてのオプションを示しているわけではありません。 その他の高度なフィールド (顧客管理 VPC やネットワークのカスタムCIDR値など) の詳細については、「アカウントコンソールを使用してワークスペースを作成する」を参照してください
-
アカウントコンソールに移動します。
-
サイドバーで、「 ワークスペース 」をクリックします。
-
[ ワークスペースの作成 ] をクリックします。
-
次のワークスペースフィールドを設定します。
- [ワークスペース名 ] に、ワークスペースの名前を入力します。
- [リージョン ] で、Cloud KMS キーと同じリージョンを選択します。
- [Google cloud project ID ] に、ワークスペースのコンピュート リソースのプロジェクトを入力しますが、これは Cloud KMS キーのプロジェクト ID とは異なる場合があります。
-
顧客管理キー固有のフィールドを設定します。
- [詳細設定 ] をクリックします。
- [ 顧客マネージドキー ] で、前のステップで作成した暗号化キーの設定を [ マネージドサービスの暗号化キーの設定 ] または [ワークスペースストレージの暗号化キーの設定 ] 、またはその両方で選択します。
-
[ 保存 ]をクリックします。