暗号化用の顧客管理キー
この記事では、暗号化用の顧客管理キーの概要について説明します。
この機能には Premium プランが必要です。
暗号化用に顧客管理キーを構成するには、「 暗号化用に顧客管理キーを構成する」を参照してください。
暗号化用の顧客管理キーの概要
一部のサービスやデータでは、暗号化されたデータへのアクセスを保護および制御するために、顧客管理キーの追加がサポートされています。 クラウドのキー管理サービスを使用して、顧客管理の暗号化キーを維持できます。
Databricks には、さまざまな種類のデータと場所を含む 2 つの顧客管理の主要なユースケースがあります。
- マネージドサービス : Databricks コントロール プレーン内のデータ (ノートブック、シークレット、Databricks SQL クエリ データ)。
- ワークスペース ストレージ : 2 つのワークスペース ストレージ バケットと、コンピュート リソースの GCE 永続ディスク ボリューム。
ワークスペース ストレージの顧客管理キーを構成するには、「 暗号化用の顧客管理キーの構成」を参照してください。
マネージドサービスの顧客管理キー
Databricks コントロール プレーン内のマネージド サービス データは、保存時に暗号化されます。マネージドサービスに顧客管理キーを追加すると、次のタイプの暗号化データへのアクセスを保護および制御できます。
- Databricks コントロール プレーン内のノートブック ソース。
- ノートブック コントロールプレーンに格納されている対話型 (ジョブとしてではない) 実行のノートブック結果。 デフォルトでは、より大きな結果もワークスペースのルートバケットに保存されます。 すべての 対話型ノートブックの結果をクラウドアカウントに保存するように Databricks を構成できます。
- Databricks シークレットに格納されているシークレット。
- AI/BI ダッシュボード。
- Databricks SQL クエリとクエリ履歴。
- 個人用アクセス トークン (PAT) または Databricks Git フォルダーとの Git 統合を設定するために使用されるその他の資格情報。
- ベクトル検索のインデックスとメタデータ。
マネージドサービスの顧客管理キーを構成するには、「 暗号化用の顧客管理キーの構成」を参照してください。
2024 年 11 月 1 日以降に作成された AI/BI ダッシュボードのみが暗号化され、顧客管理キーと互換性があります。
ワークスペース ストレージの顧客管理キー
ワークスペースストレージに顧客管理キーを追加して、次のタイプの暗号化データへのアクセスを保護および制御できます。
- ワークスペース ストレージ バケット : ワークスペース ストレージ暗号化キーを追加すると、Databricks は、ワークスペースの作成時に Databricks が作成した Google Cloud プロジェクトに関連付けられた 2 つの GCS バケット上のデータを暗号化します。これらは、ワークスペース ストレージ バケットと呼ばれます。1 つのバケットには、FileStoreDBFSエリア、MLflow モデル、 ルートDBFS (DBFS マウントではない) の DLT データを含む ルート が含まれています。別のバケットには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、その他のワークスペースデータを含むワークスペースシステムデータが含まれています。
- クラスターの GCE 永続ディスク: ワークスペース ストレージ暗号化キーは、Databricks Runtime クラシック コンピュート プレーン 内の クラスター ノードおよびその他のコンピュート リソースのGCE 永続ディスクを暗号化するために使用されます。
顧客管理キーのユースケースの比較
次の表は、カスタマーマネージドキー機能がどのタイプのデータに使用されるかを示しています。
データのタイプ | 場所 | 使用するカスタマーマネージドキー機能 |
|---|---|---|
AI/BIダッシュボード | コントロールプレーン | マネージドサービス |
ノートブックのソースとメタデータ | コントロールプレーン | マネージドサービス |
個人用アクセス トークン (PAT) または Git と Databricks Git フォルダーの統合に使用されるその他の資格情報 | コントロールプレーン | マネージドサービス |
コントロールプレーン | マネージドサービス | |
Databricks SQL クエリとクエリ履歴 | コントロールプレーン | マネージドサービス |
Databricks Runtime クラスター ノードおよびその他のコンピュート リソースのリモート GCE 永続ディスク ボリューム。 | ワークスペースストレージ | |
DBFSワークスペース ストレージ バケット内のルート。これには、FileStore 領域も含まれます。 | ワークスペースストレージ | |
ジョブ 結果 | Google Cloud アカウントのワークスペース ストレージ バケット | ワークスペースストレージ |
Databricks SQL クエリ結果 | Google Cloud アカウントのワークスペース ストレージ バケット | ワークスペースストレージ |
Google Cloud アカウントのワークスペース ストレージ バケット | ワークスペースストレージ | |
DBFSルートでDBFSパスを使用する場合、これはGoogle Cloudアカウントのワークスペースストレージバケットに保存されます。これは、他のデータソースへのマウントポイントを表すDBFSパスには適用されません。 | ワークスペースストレージ | |
デフォルトでは、ノートブックを(ジョブとしてではなく)インタラクティブに実行すると、結果はパフォーマンスのためにコントロール プレーンに保存され、一部の大きな結果は Google Cloud アカウントのワークスペース ストレージ バケットに保存されます。 すべてのインタラクティブノートブックの結果を Google Cloud アカウントに保存するように Databricks を構成することを選択できます。 「対話型ノートブックの結果の保存場所の構成」を参照してください。 | コントロールプレーンで部分的な結果を得るには、マネージドサービスに顧客管理のキーを使用します。 2 つの GCS バケットの結果 (すべての結果ストレージに対して構成可能) については、ワークスペースストレージに顧客管理キーを使用します。 「対話型ノートブックの結果の保存場所の構成」を参照してください。 |