コンプライアンス・セキュリティ・プロファイル

このページでは、コンプライアンス・セキュリティ・プロファイル、そのコンプライアンス制御、およびサポートされている機能について説明します。コンプライアンス セキュリティ プロファイルを有効にするには、「 拡張セキュリティとコンプライアンス設定の構成」を参照してください。

コンプライアンス・セキュリティー・プロファイルの概要

コンプライアンス セキュリティ プロファイルを使用すると、追加のモニタリング、ノード間暗号化の強制インスタンス タイプ、強化されたコンピュート イメージ、および Databricks ワークスペースに対するその他の機能と制御が可能になります。

Databricks を使用して、次のコンプライアンス標準で規制されているデータを処理する場合は、コンプライアンス セキュリティ プロファイルを有効にする必要があります。

• C5
• CCCSミディアム(プロテクトB)
• 国防総省 IL5
• FedRAMP High
• FedRAMP Moderate
• HIPAA
• 情報セキュリティ登録評価者プログラム(IRAP)
• 韓国金融安全院(K-FSI)
• PCI-DSS
• 英国サイバーエッセンシャルプラス

また、コンプライアンス標準に準拠しずに、強化されたセキュリティ機能に対してコンプライアンス セキュリティ プロファイルを有効にすることもできます。

ワークスペースでこの機能を有効にした場合、 価格ページで説明されているように、強化されたセキュリティとコンプライアンスのアドオンに対して課金されます。

important

• お客様は、適用されるすべての法律および規制に対する独自のコンプライアンスを確保する責任を単独で負うものとします。
• 規制対象データを処理する前に、コンプライアンス セキュリティ プロファイルと適切なコンプライアンス標準が構成されていることを確認する責任は、お客様自身にあります。
• HIPPAを追加する場合、PHIデータを処理する前に、DatabricksとBAA契約を結ぶのはお客様の責任です。

コンプライアンス・セキュリティ・プロファイルのセキュリティ強化

セキュリティの強化には、次のものが含まれます。

• Ubuntu Advantageに基づく強化されたオペレーティングシステムイメージは、オープンソースのインフラストラクチャとアプリケーションに対するセキュリティとサポートのエンタープライズグレードのパッケージです。Ubuntu Advantageには以下が含まれます。

  • CIS レベル 1 の強化イメージ
  • FIPS 140 検証済み暗号化モジュール

• クラスタリングの自動更新により、構成可能なメンテナンス期間中に定期的に再起動することで、クラスタリングに最新の更新が反映されるようにします。 「クラスタリングの自動更新」を参照してください。

• 強化されたセキュリティモニタリングには、レビュー可能なログを生成するモニタリングエージェントが含まれます。 「コンピュートプレーンイメージのモニタリングエージェントDatabricksを参照してください。

• AWSクラスタリングおよびDatabricks SQLSQL ウェアハウスでの Nitro インスタンスタイプの強制的な使用。

• すべてのエグレス通信は、メタストアとの通信を含め、TLS 1.2 以上を使用します。

Classicおよびサーバレス コンピュートの地域別サポート

コンプライアンス セキュリティ プロファイルは、クラシック プレーンとサーバレス コンピュート プレーンの両方でコンピュート リソースに適用されるコンプライアンス標準を決定します。

クラシック コンピュート リソースは、リージョン間でさまざまなコンプライアンス標準をサポートしています。 サーバレス コンピュート リソース (サーバレス SQLウェアハウス、サーバレス コンピュート for ノートブック and ワークフロー、およびサーバレス Lakeflow 宣言型パイプライン) は、コンプライアンス標準と地域に応じてサポートが制限されています。

次の表に、各コンピュート プレーンでサポートされているコンプライアンス標準と、対応するサポートされているリージョンを示します。

コンプライアンス基準	クラシックコンピュートプレーンのサポート	サーバレス コンピュート plane support
なし	すべてのリージョン	サーバレスがあるすべての地域
C5	eu-central-1	なし
CCCSミディアム(プロテクトB)	ca-central-1	なし
DoD IL5 (AWS GovCloud DOD)	us-gov-west-1	なし
FedRAMP 高 (AWS GovCloud)	us-gov-west-1	なし
FedRAMP Moderate	us-east-1、us-east-2、us-west-1、 us-west-2	us-east-1, us-west-2
HIPAA	すべてのリージョン	サーバレスがあるすべての地域
IRAP	ap-southeast-2	ap-southeast-2
K-FSIの	ap-northeast-2	なし
PCI-DSS	すべてのリージョン	us-east-1、ap-southeast-2、 us-west-2
英国サイバーエッセンシャルプラス	eu-west-2	なし

コンプライアンス standards with サーバレス コンピュート availabilityを参照してください。

コンピュートプレーンアーキテクチャの詳細については、「 Databricks アーキテクチャの概要」を参照してください。

サポートされているプレビュー機能

このセクションに記載されているプレビュー機能のみが、コンプライアンス標準で規制されているデータの処理でサポートされています。他のすべてのプレビュー機能はサポートされていません。

プレビュー機能は、「 機能の可用性」に特に記載されていない限り、AWS GovCloud ではサポートされていません。

パブリック プレビュー機能

• ワークスペース レベルの SCIM プロビジョニング

  ワークスペース レベルの SCIM プロビジョニングは、従来の機能です。Databricks では、代わりにアカウント レベルの SCIM プロビジョニングを使用することをお勧めします。

• 環境変数のシークレットパス

• パブリック プレビュー段階のシステムテーブル

• Unity Catalog のユーザー定義関数

• Hive metastoreへのアクセスを無効にする

• Git フォルダー内のダッシュボード

• ボリュームへのログ配信

• ファイルイベントのAuto Loaderサポート

• Databricks Apps のユーザー承認

• Unity Catalog メトリクスビュー

• Unity Catalog でのアクセス要求

• 管理タグ

• IAM 認証情報のパススルー

  資格情報のパススルーは、Databricks Runtime 15.0 以降で非推奨となり、将来の Databricks Runtime バージョンで削除される予定です。Databricks では、Unity Catalog にアップグレードすることをお勧めします。Unity Catalog は、アカウント内の複数のワークスペースにわたるデータアクセスを一元的に管理および監査するための場所を提供することで、データのセキュリティとガバナンスを簡素化します。「Unity Catalog とは」を参照してください。

ベータ機能

• Unity Catalog の属性ベースのアクセス制御 (ABAC)
• Databricks SQL アラート
• ai_parse_document function

プライベート プレビュー機能

• DBFS の無効化
• Databricks One
• データガバナンスハブ

サーバレス コンピュートのみのプレビュー機能

これらの機能は、サーバレス コンピュート プレーンをサポートするコンプライアンス標準でのみサポートされます。 Classicおよびサーバレス コンピュートのサポート(地域別)を参照してください。

サーバレス Public Preview の機能

• ServiceNow Lakeflowコネクト コネクタ

• Google アナリティクス Lakeflowコネクト コネクタ

• ノートブックタスクにおけるハイメモリーサーバレスコンピュート

• サーバレス 予測

• ネットワークロードバランサーを使用したサーバレス コンピュートから内部顧客ネットワークへのプライベート接続

• AWS S3 へのプライベート接続

• サーバレス ワークスペース

サーバレス Beta の機能

• 異常検出

サーバレス Private Preview 機能

• サーバレス 予測 Python SDK

HIPPA でサポートされている追加のプレビュー機能

HIPPA は、上記のすべてのプレビュー機能に加えて、次の追加のプレビュー機能もサポートしています。

• ai_queryを用いたLLMバッチ推論

• ai_forecast()

• Genie Conversation API

• SQL Server LakeFlow Connect コネクタ