暗号化用のカスタマーマネージドキー
この記事では、顧客管理の暗号化キーの概要を説明します。
注
この機能には、Enterprise 価格レベルが必要です。
顧客管理キーの暗号化を構成するには、 「顧客管理キーの暗号化の構成」を参照してください。
暗号化用の顧客管理キーの概要
一部のサービスとデータは、暗号化されたデータへのアクセスの保護と制御に役立つ顧客管理キーの追加をサポートしています。 クラウド内のキー管理サービスを使用して、顧客管理の暗号化キーを維持できます。
Databricks には、さまざまな種類のデータと場所が関係する、顧客管理の 2 つの主要なユース ケースがあります。
マネージドサービス: Databricks コントロール プレーン内のデータ (ノートブック、シークレット、および Databricks SQL クエリ データ)。
ワークスペース ストレージ: ワークスペース ストレージ バケット (DBFS ルートを含む) と、クラシック コンピュート プレーン内の コンピュート リソース の EBS ボリューム。
Unity Catalog は、KMS 暗号化を有効にした S3 バケットの読み取りおよび書き込み機能もサポートしています。 「AWS S3 に接続するためのストレージ認証情報の作成」を参照してください。
ワークスペース ストレージ用にカスタマー マネージド キーを構成するには、 「暗号化用のカスタマー マネージド キーの構成」を参照してください。
マネージドサービスの顧客管理キー
Databricksコントロール プレーン内のマネージド サービス データは保存時に暗号化されます。 マネージド サービスの顧客管理キーを追加すると、次の種類の暗号化データへのアクセスを保護および制御できます。
Databricksコントロール プレーンのノートブック ソース。
コントロール プレーンに保存される、 小説 の実行結果を対話的に (ジョブとしてではなく) 表示します。 デフォルトでは、より大きな結果もワークスペースのルート バケットに保存されます。 すべてのインタラクティブ ノートブックの結果をクラウド アカウントに保存するように Databricks を構成できます。
Databricks シークレットに保存されているシークレット。
Databricks SQLクエリとクエリ履歴。
Databricks Git フォルダーとの Git 統合をセットアップするために使用される個人アクセス内部 (PAT) またはその他の資格情報。
マネージド サービスの顧客管理キーを構成するには、 「暗号化用の顧客管理キーの構成」を参照してください。
ワークスペースストレージ用の顧客管理キー
ワークスペース ストレージに顧客管理キーを追加して、次の種類の暗号化データへのアクセスを保護および制御できます。
ワークスペース ストレージ バケット: ワークスペース ストレージ暗号化キーを追加すると、Databricks は、ワークスペースのセットアップ時に指定した AWS アカウントの Amazon S3 バケット (ワークスペース ストレージ バケットと呼ばれる) 上のデータを暗号化します。 このバケットには DBFS ルート が含まれており、これには DBFSMLflow Deltaルート (DBFS マウントではない) 内の FileStore 領域、 モデル、 Live Table データが含まれます。バケットには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、その他のワークスペース データを含むワークスペース システム データも含まれます。 詳細については、「ワークスペースのデプロイメント用のS3バケットを作成する」を参照してください。
クラスターの EBS ボリューム (オプション) : Databricks Runtime クラスター ノードおよびクラシック コンピュート プレーン内のその他のコンピュート リソースの場合、オプションでキーを使用して VM のリモート EBS ボリュームを暗号化できます。
注
この機能はDBFS ルートに影響しますが、追加のDBFSマウント上のデータの暗号化には使用されません。 S3 DBFS マウントの場合、キーを使用して暗号化されたデータを書き込む他の方法を使用できます。 詳細については、「 S3バケット内のデータの暗号化」を参照してください。 マウントは、従来のアクセスパターンです。 Databricks では、すべてのデータ アクセスの管理に Unity Catalog の使用を推奨しています。 「Unity Catalog を使用してクラウド オブジェクト ストレージに接続する」を参照してください。
顧客管理キーの使用例を比較する
次の表は、カスタマーマネージドキー機能がどのタイプのデータに使用されるかを示しています。
データのタイプ |
場所 |
使用するカスタマーマネージドキー機能 |
---|---|---|
ノートブックのソースとメタデータ |
コントロール プレーン |
マネージドサービス |
Databricks Git フォルダーとの Git 統合に使用される個人アクセストークン (PAT) またはその他の資格情報 |
コントロール プレーン |
マネージドサービス |
シークレットマネージャーAPIによって保存されたシークレット |
コントロール プレーン |
マネージドサービス |
Databricks SQLクエリーとクエリー履歴 |
コントロール プレーン |
マネージドサービス |
サーバレスコンピュートプレーン |
マネージドサービス |
|
Databricks Runtimeクラスターノードおよびその他のコンピューティングリソース用のリモートEBSボリューム 。 |
AWSアカウントのクラシック コンピュート プレーン。 リモート EBS ボリュームの顧客管理キーは、 AWSのクラシック プレーン内のリソースにのみ適用されます。 「サーバレス コンピュート」および「顧客管理キー」を参照してください。 |
ワークスペースストレージ |
アカウントのワークスペース ストレージバケット内の DBFS ルート 。AWSこれには、ファイルストア領域も含まれます。 |
ワークスペースストレージ |
|
ジョブの結果 |
AWS アカウントのワークスペース ストレージ バケット |
ワークスペースストレージ |
Databricks SQLクエリーの結果 |
AWS アカウントのワークスペース ストレージ バケット |
ワークスペースストレージ |
AWS アカウントのワークスペース ストレージ バケット |
ワークスペースストレージ |
|
DBFS ルートでDBFSパスを使用する場合、これはAWSアカウントのワークスペース ストレージバケットに保存されます。 これは、他のデータソースへのマウント ポイントを表すDBFSパスには適用されません。 |
ワークスペースストレージ |
|
デフォルトでは、ノートブックをジョブとしてではなくインタラクティブに実行すると、パフォーマンスのために結果はコントロールプレーンに保存され、一部の大きな結果は AWS アカウントのワークスペースストレージバケットに保存されます。 すべてのインタラクティブノートブックの結果を AWS アカウントに保存するように Databricks を構成することもできます。 |
コントロール プレーンでの部分的な結果については、 マネージド サービス の顧客管理キーを使用します。 すべての結果ストレージに対して構成できるワークスペース ストレージ バケット内の結果については、ワークスペース ストレージ用の顧客管理キーを使用します。 |
サーバレスコンピュートとカスタマーマネージドキー
Databricks SQLサーバーは以下をサポートします:
マネージドサービス for Databricks SQL クエリおよびクエリ履歴の顧客管理キー。
Databricks SQL結果用の DBFS ルート ストレージを含む、ワークスペース ストレージ バケットの顧客管理キー。
サーバーレス SQLウェアハウスは、コンピュート ノード上の EBS ストレージ暗号化に顧客マネージド キーを使用しません。これは、ワークスペース ストレージ用の顧客マネージド キーの構成のオプション部分です。 サーバレス コンピュート リソースのディスクの寿命は短く、サーバレス ワークロードのライフサイクルに関連付けられています。 コンピュート リソースが停止またはスケールダウンされると、VM とそのストレージは破壊されます。
モデルの提供
サーバレスコンピューティング機能であるモデルサービングのリソースは、通常、次の2つのカテゴリに分類されます。
モデル用に作成したリソースは、ワークスペースのS3バケットにあるワークスペースのDBFSルートに保存されます。これには、モデルのアーティファクトとバージョンのメタデータが含まれます。ワークスペースモデルレジストリとMLflowの両方がこのストレージを使用します。このストレージは、カスタマーマネージドキーを使用するように設定できます。
Databricksがユーザーに代わって直接作成するリソースには、モデルイメージと一時的なサーバレスコンピューティングストレージが含まれます。これらはDatabricksが管理するキーで暗号化されており、カスタマーマネージドキーはサポートされていません。
顧客管理のワークスペース ストレージ機能のオプション部分である EBS ストレージの顧客管理キーは、サーバーレス コンピュート リソースには適用されません。 サーバレス コンピュート リソースのディスクの寿命は短く、サーバレス ワークロードのライフサイクルに関連付けられています。 コンピュート リソースが停止またはスケールダウンされると、VM とそのストレージは破壊されます。