データのセキュリティと暗号化
この記事では、データの保護に役立つデータ セキュリティ構成について説明します。
データへのアクセスの保護に関する情報については、「Unity Catalogによるデータガバナンス」を参照してください。
データのセキュリティと暗号化の概要
Databricks には、データの保護に役立つ暗号化機能が用意されています。 すべてのセキュリティ機能がすべての価格レベルで使用できるわけではありません。 次の表に、機能の概要と、それらが価格プランにどのように適合するかを示します。
機能 | 価格プラン |
|---|---|
暗号化用のカスタマー マネージド キー | Enterprise |
クラスターワーカーノード間のトラフィックを暗号化する | Enterprise |
クエリ、クエリ履歴、クエリ結果を暗号化する | Enterprise |
暗号化のための顧客管理キーの有効化
Databricks では、データへのアクセスを保護および制御するために、顧客管理キーの追加がサポートされています。 異なるタイプのデータに対して、2つの顧客管理の主要な機能があります。
-
マネージドサービスの顧客管理キー : Databricks コントロール プレーン内のマネージドサービス データは、保存時に暗号化されます。 マネージドサービスに顧客管理キーを追加すると、次のタイプの暗号化データへのアクセスを保護および制御できます。
- コントロールプレーンに保存されているノートブックのソースファイル。
- コントロールプレーンに保存されているノートブックの結果。
- シークレット マネージャーによって保存されたシークレット APIs.
- Databricks SQL クエリとクエリ履歴。
- Databricks Git フォルダーとの Git 統合をセットアップするために使用される個人アクセストークンまたはその他の資格情報。
-
ワークスペースストレージの顧客管理キー: AmazonS3AWSワークスペースの作成時に指定した アカウントの バケットのデータを暗号化するように、独自のキーを構成できます。オプションで、同じキーを使用してクラスターの EBS ボリュームを暗号化できます。
さまざまな種類のデータを保護する Databricks の顧客管理キー機能の詳細については、「 暗号化のための顧客管理キー」を参照してください。
クエリ、クエリ履歴、クエリ結果を暗号化する
AWS KMS の独自のキーを使用して、Databricks SQL クエリと Databricks コントロールプレーンに保存されているクエリ履歴を暗号化できます。 詳細については、「クエリ、クエリ履歴、クエリ結果の暗号化」を参照してください
保存中の S3 バケットを暗号化する
Databricks は、サーバー側の暗号化を使用した S3 のデータの暗号化をサポートしています。 KMS のキーを使用して S3 への書き込みを暗号化できます。 これにより、データが紛失したり盗まれたりした場合にデータの安全性が確保されます。 「 KMS を使用した S3 の暗号化の設定」を参照してください。 ワークスペースのストレージバケットを暗号化するには、「 暗号化のための顧客管理のキー」を参照してください。
クラスター ワーカー ノード間のトラフィックを暗号化する
ユーザー クエリと変換は、通常、暗号化されたチャンネルを介してクラスターに送信されます。 ただし、デフォルトでは、クラスター内のワーカーノード間で交換されるデータは暗号化されません。 保存中か転送中かにかかわらず、データを常に暗号化する必要がある場合は、TLS 1.2接続を介したAES 128ビット暗号化を使用して、ワーカーノード間のトラフィックを暗号化するようにクラスターを構成するinitスクリプトを作成できます。 詳細については、「 クラスター ワーカー ノード間のトラフィックを暗号化する」を参照してください。
ワークスペースの設定を管理する
Databricks ワークスペース管理者は、ノートブックのダウンロード機能やユーザー分離クラスター アクセス モードの適用など、ワークスペースのセキュリティ設定を管理できます。 詳細については、「 ワークスペースの管理」を参照してください。