AWS GovCloud 上の Databricks
この記事では、Databricks on AWS GovCloud オファリングとそのコンプライアンス制御について説明します。
AWS GovCloud の概要
AWS GovCloud により、米国政府の顧客とそのパートナーは、FedRAMP High ベースラインや、米国国際武器取引規制 (ITAR) や輸出管理規制 (EAR) などのその他のコンプライアンス体制に準拠する安全なクラウド ソリューションを柔軟に構築できます。 詳細については、 「AWS GovCloud」を参照してください。
Databricks on AWSGovCloudDatabricks、AWSGovCloud にデプロイされた プラットフォームにコンプライアンスとセキュリティ制御を提供します。AWS GovCloud 上の Databricks は、米国本土の米国国民のみによって運営されています。
注:
Databricks GovCloudヘルプセンターは、サポート ケースを送信および管理する場所です。 https://help.databricks.us/s/ に移動します。サポートケースに関する輸出規制対象データは、 Databricks GovCloudヘルプセンター以外のチャンネルを通じて共有しないでください。 サポートの詳細については、 「サポート」を参照してください。
AWS GovCloud 上の Databricks アカウントが無効な場合、アカウント所有者は短期間のログイン URL が記載された電子メールを受信します。
コンプライアンス セキュリティ プロファイル
デフォルトDatabricks on AWS GovCloudワークスペース上のすべての Databricks でコンプライアンス セキュリティ プロファイルが有効になります。 コンプライアンス セキュリティ プロファイルには、追加のモニタリング、ノード間暗号化のための強制インスタンス タイプ、強化されたコンピュート イメージ、および FedRAMP High コンプライアンスの要件を満たすのに役立つその他の機能があります。 クラスターの自動更新と強化されたセキュリティ モニタリングも自動的に有効になります。
スクライビング セキュリティ プロファイルは、 クラスター ノード間のハードウェア実装ネットワーク暗号化と、 クラスターAWS およびDatabricks SQL ウェアハウス内のローカル ディスクの保存時の暗号化の両方を提供する Nitro インスタンスタイプの使用を強制します。フリートインスタンスはAWS Gov クラウドでは利用できません。 サポートされているインスタンスタイプは次のとおりです。
汎用:
M5dn
、M5n
、M5zn
、M6i
、M7i
、M6id
、M6in
、M6idn
コンピュート最適化:
C5a
,C5ad
,C5n
,C6i
,C6id
,C7i
,C6in
メモリ最適化:
R6i
、R7i
、R7iz
、R6id
、R6in
、R6idn
ストレージ最適化:
D3
、D3en
、P3dn
、R5dn
、R5n
、I4i
、I3en
アクセラレーテッド コンピューティング:
G4dn
,G5
,P4d
,P4de
,P5
コンプライアンス セキュリティ プロファイルの詳細については、 「コンプライアンス セキュリティ プロファイル」を参照してください。
FedRAMP High compliance
AWS GovCloud 上の Databricks の FedRAMP High 認証ステータスは現在[処理中]です。
顧客は、 FedRAMP Databricks認証ドキュメント パッケージの SSP 付録 J の コントロール実装概要/顧客責任マトリックス に記載されている、該当する FedRAMP HIGH コンプライアンス コントロールの実装と運用に責任を負います。米国政府機関は、FedRAMP パッケージ アクセス リクエスト フォームを通じて Databricks FedRAMP High 認証ドキュメントにアクセスできます。 Databricks FedRAMP Marketplace のリスト(パッケージ ID: FR2324740262) の指示に従ってください。
Databricks on AWS GovCloudワークスペース上の Databricks で以下を構成する必要があります。
シングル サインオン認証については、 「Databricks での SSO の構成」を参照してください。
バックエンド接続とフロントエンド接続の両方に PrivateLink を使用する場合は、 「AWS PrivateLink を使用してプライベート接続を有効にする」を参照してください。
機密情報が、ワークスペース名、クラスター名、ジョブ名などの顧客定義の入力フィールドに入力されないようにします。
AWS GovCloud リージョンと URL の Databricks
上のDatabricksAWS Databricks on AWSGovCloudDatabricks の アカウント ID は044793339203
です。このアカウント ID は、 Databricksワークスペースのデプロイメント用のクロスアカウント IAM ロールを作成および構成するために必要です。 「ワークスペース デプロイメント用の IAM ロールを作成する」を参照してください。
Databricks on AWS GovCloudワークスペースのDatabricksはus-gov-west-1
リージョンにあります。 リージョンの情報については、 「Databricks のクラウドとリージョン」を参照してください。
Databricks on AWS GovCloudの Databricks URL は、商用製品のDatabricks URL とは異なります。 AWS GovCloud 上の Databricks には次の URL を使用します。
Databricks アカウント コンソールの URL:
https://accounts.cloud.databricks.us
アカウントレベルのREST APIsのベースURL:
https://accounts.cloud.databricks.us/
Databricks ワークスペース URL:
https://<deployment-name>.cloud.databricks.us
たとえば、ワークスペースの作成時に指定したデプロイメント名が
ABCSales
の場合、ワークスペース URL はhttps://abcsales.cloud.databricks.com.us
です。ワークスペースレベルのREST APIsのベースURL:
https://<deployment-name>.cloud.databricks.us/