メインコンテンツまでスキップ

暗号化用の顧客管理キー

この記事では、暗号化用の顧客管理キーの概要について説明します。

注記

この機能には Premium プランが必要です。

暗号化用に顧客管理キーを構成するには、「 暗号化用に顧客管理キーを構成する」を参照してください。

暗号化用の顧客管理キーの概要

一部のサービスやデータでは、暗号化されたデータへのアクセスを保護および制御するために、顧客管理キーの追加がサポートされています。 クラウドのキー管理サービスを使用して、顧客管理の暗号化キーを維持できます。

Databricks には、さまざまな種類のデータと場所を含む 2 つの顧客管理の主要なユースケースがあります。

  • マネージドサービス : Databricks コントロール プレーン内のデータ (ノートブック、シークレット、Databricks SQL クエリ データ)。
  • ワークスペース ストレージ : 2 つのワークスペース ストレージ バケットと、コンピュート リソースの GCE 永続ディスク ボリューム。

ワークスペース ストレージの顧客管理キーを構成するには、「 暗号化用の顧客管理キーの構成」を参照してください。

マネージドサービスの顧客管理キー

Databricks コントロール プレーン内のマネージド サービス データは、保存時に暗号化されます。マネージドサービスに顧客管理キーを追加すると、次のタイプの暗号化データへのアクセスを保護および制御できます。

マネージドサービスの顧客管理キーを構成するには、「 暗号化用の顧客管理キーの構成」を参照してください。

important

2024 年 11 月 1 日以降に作成された AI/BI ダッシュボードのみが暗号化され、顧客管理キーと互換性があります。

ワークスペース ストレージの顧客管理キー

ワークスペースストレージに顧客管理キーを追加して、次のタイプの暗号化データへのアクセスを保護および制御できます。

  • ワークスペース ストレージ バケット : ワークスペース ストレージ暗号化キーを追加すると、Databricks は、ワークスペースの作成時に Databricks が作成した Google Cloud プロジェクトに関連付けられた 2 つの GCS バケット上のデータを暗号化します。これらは、ワークスペース ストレージ バケットと呼ばれます。1 つのバケットには、FileStoreDBFSエリア、MLflow モデル、 ルートDBFS (DBFS マウントではない) の DLT データを含む ルート が含まれています。別のバケットには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、その他のワークスペースデータを含むワークスペースシステムデータが含まれています。
  • クラスターの GCE 永続ディスク: ワークスペース ストレージ暗号化キーは、Databricks Runtime クラシック コンピュート プレーン 内の クラスター ノードおよびその他のコンピュート リソースのGCE 永続ディスクを暗号化するために使用されます。

顧客管理キーのユースケースの比較

次の表は、カスタマーマネージドキー機能がどのタイプのデータに使用されるかを示しています。

データのタイプ

場所

使用するカスタマーマネージドキー機能

AI/BIダッシュボード

コントロールプレーン

マネージドサービス

ノートブックのソースとメタデータ

コントロールプレーン

マネージドサービス

個人用アクセス トークン (PAT) または Git と Databricks Git フォルダーの統合に使用されるその他の資格情報

コントロールプレーン

マネージドサービス

シークレットマネージャー によって保存されたシークレットAPIs

コントロールプレーン

マネージドサービス

Databricks SQL クエリとクエリ履歴

コントロールプレーン

マネージドサービス

Databricks Runtime クラスター ノードおよびその他のコンピュート リソースのリモート GCE 永続ディスク ボリューム。

Classic コンピュート平面をGoogle Cloud アカウントに入れます

ワークスペースストレージ

顧客がアクセス可能なDBFSルートデータ

DBFSワークスペース ストレージ バケット内のルート。これには、FileStore 領域も含まれます。

ワークスペースストレージ

ジョブ 結果

Google Cloud アカウントのワークスペース ストレージ バケット

ワークスペースストレージ

Databricks SQL クエリ結果

Google Cloud アカウントのワークスペース ストレージ バケット

ワークスペースストレージ

MLflowモデル

Google Cloud アカウントのワークスペース ストレージ バケット

ワークスペースストレージ

DLT

DBFSルートでDBFSパスを使用する場合、これはGoogle Cloudアカウントのワークスペースストレージバケットに保存されます。これは、他のデータソースへのマウントポイントを表すDBFSパスには適用されません。

ワークスペースストレージ

対話型ノートブックの結果

デフォルトでは、ノートブックを(ジョブとしてではなく)インタラクティブに実行すると、結果はパフォーマンスのためにコントロール プレーンに保存され、一部の大きな結果は Google Cloud アカウントのワークスペース ストレージ バケットに保存されます。 すべてのインタラクティブノートブックの結果を Google Cloud アカウントに保存するように Databricks を構成することを選択できます。 「対話型ノートブックの結果の保存場所の構成」を参照してください。

コントロールプレーンで部分的な結果を得るには、マネージドサービスに顧客管理のキーを使用します。 2 つの GCS バケットの結果 (すべての結果ストレージに対して構成可能) については、ワークスペースストレージに顧客管理キーを使用します。 「対話型ノートブックの結果の保存場所の構成」を参照してください。