コンプライアンス・セキュリティ・プロファイル

このページでは、コンプライアンス・セキュリティ・プロファイル、そのコンプライアンス制御、およびサポートされている機能について説明します。コンプライアンス セキュリティ プロファイルを有効にするには、「 拡張セキュリティとコンプライアンス設定の構成」を参照してください。

コンプライアンス・セキュリティー・プロファイルの概要

コンプライアンス セキュリティ プロファイルを使用すると、追加のモニタリング、ノード間暗号化の強制インスタンス タイプ、強化されたコンピュート イメージ、および Databricks ワークスペースに対するその他の機能と制御が可能になります。

Databricks を使用して、次のコンプライアンス標準で規制されているデータを処理する場合は、コンプライアンス セキュリティ プロファイルを有効にする必要があります。

• CCCSミディアム(プロテクトB)
• 国防総省 IL5
• FedRAMP High
• FedRAMP Moderate
• HIPAA
• 情報セキュリティ登録評価者プログラム(IRAP)
• 韓国金融安全院(K-FSI)
• PCI-DSS
• 英国サイバーエッセンシャルプラス

また、コンプライアンス標準に準拠しずに、強化されたセキュリティ機能に対してコンプライアンス セキュリティ プロファイルを有効にすることもできます。

ワークスペースでこの機能を有効にした場合、 価格ページで説明されているように、強化されたセキュリティとコンプライアンスのアドオンに対して課金されます。

important

• お客様は、適用されるすべての法律および規制に対する独自のコンプライアンスを確保する責任を単独で負うものとします。
• 規制対象データを処理する前に、コンプライアンス セキュリティ プロファイルと適切なコンプライアンス標準が構成されていることを確認する責任は、お客様自身にあります。
• HIPPAを追加する場合、PHIデータを処理する前に、DatabricksとBAA契約を結ぶのはお客様の責任です。

コンプライアンス・セキュリティ・プロファイルのセキュリティ強化

セキュリティの強化には、次のものが含まれます。

• Ubuntu Advantageに基づく強化されたオペレーティングシステムイメージは、オープンソースのインフラストラクチャとアプリケーションに対するセキュリティとサポートのエンタープライズグレードのパッケージです。Ubuntu Advantageには以下が含まれます。

  • CIS レベル 1 の強化イメージ
  • FIPS 140 検証済み暗号化モジュール

• クラスタリングの自動更新により、構成可能なメンテナンス期間中に定期的に再起動することで、クラスタリングに最新の更新が反映されるようにします。 「クラスタリングの自動更新」を参照してください。

• 強化されたセキュリティモニタリングには、レビュー可能なログを生成するモニタリングエージェントが含まれます。 「コンピュートプレーンイメージのモニタリングエージェントDatabricksを参照してください。

• AWSクラスタリングおよびDatabricks SQLSQL ウェアハウスでの Nitro インスタンスタイプの強制的な使用。

• すべてのエグレス通信は、メタストアとの通信を含め、TLS 1.2 以上を使用します。

Classic と サーバレス コンピュートのサポート

コンプライアンス セキュリティ プロファイルは、クラシック プレーンとサーバレス コンピュート プレーンの両方でコンピュート リソースに適用されるコンプライアンス標準を決定します。

クラシック コンピュート リソースは、リージョン間でさまざまなコンプライアンス標準をサポートしています。 サーバレス コンピュート リソース (サーバレス SQLウェアハウス、サーバレス コンピュート for ノートブック and ワークフロー、およびサーバレス Lakeflow 宣言型パイプライン) は、コンプライアンス標準と地域に応じてサポートが制限されています。

次の表に、各コンピュート プレーンでサポートされているコンプライアンス標準と、対応するサポートされているリージョンを示します。

コンプライアンス基準	クラシックコンピュートプレーンのサポート	サーバレス コンピュート plane support
なし	すべてのリージョン	サーバレスがあるすべての地域
CCCSミディアム(プロテクトB)	ca-central-1	なし
DoD IL5 (AWS GovCloud DOD)	us-gov-west-1	なし
FedRAMP 高 (AWS GovCloud)	us-gov-west-1	なし
FedRAMP Moderate	us-east-1、us-east-2、us-west-1、 us-west-2	us-east-1, us-west-2
HIPAA	すべてのリージョン	サーバレスがあるすべての地域
IRAP	ap-southeast-2	ap-southeast-2
K-FSIの	ap-northeast-2	なし
PCI-DSS	すべてのリージョン	us-east-1、ap-southeast-2、 us-west-2
英国サイバーエッセンシャルプラス	eu-west-2	なし

コンプライアンス standards with サーバレス コンピュート availabilityを参照してください。

コンピュートプレーンアーキテクチャの詳細については、「 Databricks アーキテクチャの概要」を参照してください。

サポートされているプレビュー機能

このセクションに記載されているプレビュー機能のみが、コンプライアンス標準で規制されているデータの処理でサポートされています。他のすべてのプレビュー機能はサポートされていません。

プレビュー機能は AWS GovCloud ではサポートされていません (「 Databricks on AWS GovCloud (FedRAMP High)」を参照してください)。

パブリック プレビュー機能

• ワークスペース レベルの SCIM プロビジョニング

  ワークスペース レベルの SCIM プロビジョニングは、従来の機能です。Databricks では、代わりにアカウント レベルの SCIM プロビジョニングを使用することをお勧めします。

• 環境変数のシークレットパス

• パブリック プレビュー段階のシステムテーブル

• Unity Catalog のユーザー定義関数

• Hive metastoreへのアクセスを無効にする

• Git フォルダー内のダッシュボード

• ボリュームへのログ配信

• ファイルイベントのAuto Loaderサポート

• IAM 認証情報のパススルー

  資格情報のパススルーは、Databricks Runtime 15.0 以降で非推奨となり、将来の Databricks Runtime バージョンで削除される予定です。Databricks では、Unity Catalog にアップグレードすることをお勧めします。Unity Catalog は、アカウント内の複数のワークスペースにわたるデータアクセスを一元的に管理および監査するための場所を提供することで、データのセキュリティとガバナンスを簡素化します。「Unity Catalog とは」を参照してください。

プライベート プレビュー機能

• Unity Catalog の属性ベースのアクセス制御 (ABAC)
• タグポリシー
• DBFS の無効化
• ドキュメント解析
• アラート v2

サーバレス コンピュートのみのプレビュー機能

これらの機能は、サーバレス コンピュート プレーンをサポートするコンプライアンス標準でのみサポートされます。 Classic とサーバレス コンピュートのサポートを参照してください。

サーバレス Public Preview の機能

• ServiceNow Lakeflowコネクト コネクタ

• Google アナリティクス Lakeflowコネクト コネクタ

• ノートブックタスクにおけるハイメモリーサーバレスコンピュート

• 異常検出

• サーバレス 予測

• サーバレス エグレス制御

サーバレス Private Preview 機能

• サーバレス 予測 Python SDK

• デフォルトのストレージ

• ネットワークロードバランサーを使用したサーバレス コンピュートから内部顧客ネットワークへのプライベート接続

HIPPA でサポートされている追加のプレビュー機能

HIPPA は、上記のすべてのプレビュー機能に加えて、次の追加のプレビュー機能もサポートしています。

• ai_queryを用いたLLMバッチ推論

• ai_forecast()

• AIジャッジ

• Genie Conversation API

• Delta Sharing のクロスプラットフォーム ビュー共有

• Lakeflowコネクト 列レベルの選択 (プライベート プレビュー)