セキュリティ、コンプライアンス、プライバシーのベストプラクティス

セキュリティのベストプラクティスについては、Databricks セキュリティとセキュリティセンターの [セキュリティ機能] を参照してください。

詳細については、PDF: Databricks AWS セキュリティのベストプラクティスと脅威モデルを参照してください。

生成AIの場合、 Databricks AIセキュリティを管理するための実用的なフレームワークであるDatabricks AIセキュリティフレームワーク(DASF) を提供します。

次のセクションでは、この柱の原則に沿って PDF で見つけることができるベストプラクティスを示します。

1. 最小限の特権を使用して ID とアクセスを管理する

シングルサインオンと統合ログインを設定します。
多要素認証を使用します。
管理者アカウントを通常のユーザーアカウントから分離します。
トークン管理を使用します。
ユーザーとグループのSCIM同期。
クラスターの作成権限を制限します。
シークレットを安全に保存して使用します。
クロスアカウント IAMロール設定。
顧客承認のワークスペースログイン。
ユーザーの分離をサポートするクラスターを使用します。
サービスプリンシパルを使用して、実動ジョブを実行します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

2. 転送中および保存中のデータを保護する

運用データを DBFS に格納することは避けてください。
クラウドストレージへの安全なアクセス。
管理コンソール内のデータ流出設定を使用します。
バケットのバージョニングを使用します。
ストレージを暗号化し、アクセスを制限します。
マネージドサービスの顧客管理キーを追加します。
ワークスペースストレージ用の Web マネージドキーを追加します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

3. ネットワークを保護し、エンドポイントを特定して保護する

顧客管理の VPC または VNet を使用してデプロイします。
IP アクセスリストを使用します。
ネットワーク流出防止を実装します。
VPC サービスコントロールを適用します。
VPC エンドポイントポリシーを使用します。
プライベートリンクを構成します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

4. 責任共有モデルを確認する

責任共有モデルを確認します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

5. コンプライアンスとデータプライバシーの要件を満たす

Databricks のコンプライアンス標準を確認します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

6.システムセキュリティを監視します

Databricks 監査ログ配信を使用します。
使用状況を監視し、チャージバックを有効にするようにタグ付けを構成します。
オーバーウォッチを使用してワークスペースを監視します。
プロビジョニングアクティビティを監視します。
拡張セキュリティ監視またはコンプライアンスセキュリティプロファイルを使用します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。

汎用コントロール

サービスクォータ。
ライブラリの制御。
機密性の高いワークロードを異なるワークスペースに分離します。
CI/CD プロセスを使用して、ハードコーディングされたシークレットのコードをスキャンします。
AWS Nitro インスタンスを使用します。

詳細については、この記事の冒頭近くで参照されている PDF を参照してください。