暗号化用のカスタマーマネージドキー

この記事では、顧客管理の暗号化キーの概要を説明します。

この機能には、Enterprise 価格レベルが必要です。

顧客管理キーの暗号化を構成するには、 「顧客管理キーの暗号化の構成」を参照してください。

暗号化用の顧客管理キーの概要

一部のサービスとデータは、暗号化されたデータへのアクセスの保護と制御に役立つ顧客管理キーの追加をサポートしています。 クラウド内のキー管理サービスを使用して、顧客管理の暗号化キーを維持できます。

Databricks には、さまざまな種類のデータと場所が関係する、顧客管理の 2 つの主要なユース ケースがあります。

  • マネージドサービス: Databricks コントロール プレーン内のデータ (ノートブック、シークレット、および Databricks SQL クエリ データ)。

  • ワークスペース ストレージ: ワークスペースのルート S3 バケットと、クラシック コンピュート プレーン内のコンピュート リソースの EBS ボリューム。

Unity Catalog は、KMS 暗号化を有効にした S3 バケットの読み取りおよび書き込み機能もサポートしています。 「AWS S3 に接続するためのストレージ認証情報の作成」を参照してください。

ワークスペース ストレージ用にカスタマー マネージド キーを構成するには、 「暗号化用のカスタマー マネージド キーの構成」を参照してください。

マネージドサービスの顧客管理キー

Databricksコントロール プレーン内のマネージド サービス データは保存時に暗号化されます。 マネージド サービスの顧客管理キーを追加すると、次の種類の暗号化データへのアクセスを保護および制御できます。

マネージド サービスの顧客管理キーを構成するには、 「暗号化用の顧客管理キーの構成」を参照してください。

ワークスペースストレージ用の顧客管理キー

ワークスペース ストレージに顧客管理キーを追加して、次の種類の暗号化データへのアクセスを保護および制御できます。

  • ワークスペースのルート S3 バケット: ワークスペース ストレージ暗号化キーを追加すると、Databricks は、ワークスペースのセットアップ時に指定した AWS アカウントの Amazon S3 バケット (ワークスペースのルート S3 バケットと呼ばれることもあります) 上のデータを暗号化します。 詳細については、 「ワークスペース展開用の S3 バケットを作成する」を参照してください。 このバケットにはワークスペースの DBFS ルートが 含まれており、これには DBFS ルート ( DBFS マウント ではない) 内の FileStore 領域、 MLflow モデル 、およびDelta ライブ テーブル データが含まれます。バケットには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、およびその他のワークスペース データを含むワークスペースのシステム データも含まれます。

  • クラスターの EBS ボリューム (オプション) : Databricks Runtime クラスター ノードおよびクラシック コンピュート プレーン内のその他のコンピュート リソースの場合、オプションでキーを使用して VM のリモート EBS ボリュームを暗号化できます。

この機能はルート S3 バケット内のDBFS ルートデータに影響しますが、追加の S3 バケットなどの追加の DBFS マウント上のデータの暗号化には使用されません。 DBFS ルートには FileStore 領域が含まれています。 S3 DBFS マウントの場合は、他のアプローチを使用して、キーを使用して暗号化されたデータを書き込むことができます。 詳細については、「S3 バケット内のデータの暗号化」を参照してください。

顧客管理キーの使用例を比較する

次の表は、カスタマーマネージドキー機能がどのタイプのデータに使用されるかを示しています。

データのタイプ

場所

使用するカスタマーマネージドキー機能

ノートブックのソースとメタデータ

コントロール プレーン

マネージドサービス

Databricks Git フォルダーとの Git 統合に使用される個人アクセスウイルス (PAT) またはその他の資格情報

コントロール プレーン

マネージドサービス

シークレットマネージャーAPIによって保存されたシークレット

コントロール プレーン

マネージドサービス

Databricks SQLクエリーとクエリー履歴

コントロール プレーン

マネージドサービス

Databricks Runtimeクラスターノードおよびその他のコンピューティングリソース用のリモートEBSボリューム

AWSアカウントのクラシック コンピュート プレーン。 リモート EBS ボリュームの顧客管理キーは、 AWSのクラシック プレーン内のリソースにのみ適用されます。 「サーバレス コンピュート」および「顧客管理キー」を参照してください。

ワークスペースストレージ

顧客がアクセス可能なDBFSルートデータ

AWS アカウントのワーク スペースルート S3 バケット 内のワークスペースの DBFS ルート 。これには、ファイルストア領域も含まれます。

ワークスペースストレージ

ジョブの結果

AWS アカウントのワークスペースルート S3 バケット

ワークスペースストレージ

Databricks SQLクエリーの結果

AWS アカウントのワークスペースルート S3 バケット

ワークスペースストレージ

MLflowモデル

AWS アカウントのワークスペースルート S3 バケット

ワークスペースストレージ

Delta Live Tables

DBFS ルートで DBFS パスを使用する場合、これは AWS アカウントのワークスペースルート S3 バケットに保存されます。 これは、他のデータソースへのマウント ポイントを表す DBFS パスには適用されません。

ワークスペースストレージ

対話型ノートブックの結果

デフォルトでは、ノートブックを (ジョブとしてではなく) インタラクティブに実行すると、結果はパフォーマンスのためにコントロール プレーンに保存され、一部の大きな結果は AWS アカウントのワークスペースルート S3 バケットに保存されます。 すべてのインタラクティブなノートブックの結果を AWS アカウントに保存するように Databricks を構成することを選択できます。

コントロール プレーンの部分的な結果については、マネージド サービスの顧客管理キーを使用してください。 すべての結果ストレージに対して構成できるルート S3 バケット内の結果については、ワークスペース ストレージの顧客管理キーを使用します。

サーバレスコンピュートとカスタマーマネージドキー

Databricks SQL サーバーレスは以下をサポートします。

  • マネージドサービス for Databricks SQL クエリおよびクエリ履歴の顧客管理キー。

  • Databricks SQL 結果のルート DBFS ストレージを含む、ワークスペースの S3 バケットの顧客管理キー。

サーバーレス SQLウェアハウスは、コンピュート ノード上の EBS ストレージ暗号化に顧客マネージド キーを使用しません。これは、ワークスペース ストレージ用の顧客マネージド キーの構成のオプション部分です。 サーバレス コンピュート リソースのディスクの寿命は短く、サーバレス ワークロードのライフサイクルに関連付けられています。 コンピュート リソースが停止またはスケールダウンされると、VM とそのストレージは破壊されます。

モデルの提供

サーバレスコンピューティング機能であるモデルサービングのリソースは、通常、次の2つのカテゴリに分類されます。

  • モデル用に作成したリソースは、ワークスペースのS3バケットにあるワークスペースのDBFSルートに保存されます。これには、モデルのアーティファクトとバージョンのメタデータが含まれます。ワークスペースモデルレジストリとMLflowの両方がこのストレージを使用します。このストレージは、カスタマーマネージドキーを使用するように設定できます。

  • Databricksがユーザーに代わって直接作成するリソースには、モデルイメージと一時的なサーバレスコンピューティングストレージが含まれます。これらはDatabricksが管理するキーで暗号化されており、カスタマーマネージドキーはサポートされていません。

顧客管理のワークスペース ストレージ機能のオプション部分である EBS ストレージの顧客管理キーは、サーバーレス コンピュート リソースには適用されません。 サーバレス コンピュート リソースのディスクの寿命は短く、サーバレス ワークロードのライフサイクルに関連付けられています。 コンピュート リソースが停止またはスケールダウンされると、VM とそのストレージは破壊されます。