顧客管理キーの暗号化を構成する

プレビュー

この機能は パブリックプレビュー版です。

アカウント管理者は、Databricks アカウント コンソールを使用して、顧客管理キーの暗号化を構成できます。 アカウント キー構成 APIを使用して顧客管理キーを構成することもできます。

顧客管理キーを追加するには、Databricks の使用例が 2 つあります。

  • ワークスペース ストレージ (2 つの ワークスペース ストレージ バケットと コンピュートリソース の GCE 永続ディスク ボリューム)。

カスタマー マネージド キーの使用例を比較するには、 「カスタマー マネージド キーの使用例の比較」を参照してください。

この機能を利用するには、 プレミアムプランが必要です。

暗号化キーの構成とは

顧客管理キーは、暗号化キー構成を使用して管理されます。 暗号化キー構成は、クラウドのキーを参照するアカウント レベルのオブジェクトです。

アカウント管理者はアカウント コンソールで暗号化キー構成を作成し、暗号化キー構成を 1 つ以上のワークスペースに添付できます。

Databricks キー構成オブジェクトは、2 つの異なる暗号化ユース ケース (マネージド サービスとワークスペース ストレージ) 間で共有できます。

暗号化キー構成は、ワークスペースの作成時にのみ Databricks ワークスペースに追加できます。

ステップ 1: Cloud KMS でキーを作成または選択する

ワークスペース ストレージとマネージドサービスのユースケース間で同じクラウド KMS キーを使用できます。

  1. 「対称暗号化キーの作成」の手順に従って、クラウド KMS で 対称キーを作成または選択します。 クラウド KMS キーは、ワークスペースと同じリージョンに存在する必要があります。

  2. KMS キーのリソース名をコピーします。

ステップ 2: 新しいキー構成を作成する

Databricks アカウント コンソールを使用して、Databricks 暗号化キー構成オブジェクトを作成します。

  1. アカウント管理者として、アカウントコンソールにログインします。

  2. サイドバーで、 「クラウド リソース」をクリックします。

  3. 「暗号化キー構成」タブをクリックします。

  4. 暗号化キーの追加」をクリックします。

  5. この暗号化キーのユースケースを選択します。

    • マネージドサービスとワークスペースストレージの両方

    • マネージドサービス

    • ワークスペースストレージ

  6. [KMS キー ID]フィールドに、上でコピーしたリソース名を入力します。

  7. 追加」をクリックします。

ステップ 3: 新しいワークスペースを作成する

作成した暗号化キー構成を使用してワークスペースを作成します。 暗号化キーの設定でワークスペースを作成するには、クラウド KMS キーに対する Google の権限cloudkms.cryptoKeys.getIamPolicycloudkms.cryptoKeys.setIamPolicyが必要です。

注:

このセクションでは、ワークスペースを作成するためのすべてのオプションは表示されません。 顧客管理VPCやネットワークのカスタムCIDR値などのその他の詳細フィールドの詳細については、 「アカウントコンソールを使用してワークスペースを作成する」を参照してください。

  1. アカウントコンソールに移動します。

  2. サイドバーで、[ワークスペース] をクリックします。

  3. 「ワークスペースの作成」をクリックします。

  4. 次のワークスペースフィールドを設定します。

    • ワークスペース名、ワークスペースの名前を入力します。

    • [リージョン] 、クラウド KMS キーと同じリージョンを選択します。

    • [Google クラウド プロジェクト ID] には、ワークスペースのコンピュート リソースのプロジェクトを入力します。これは、クラウド KMS キーのプロジェクト ID とは異なる場合があります。

  5. 顧客管理のキー固有のフィールドを設定します。

    1. [ 詳細設定] をクリックします。

    2. [顧客管理キー]で、 [マネージド サービス用の暗号化キー構成]または[ワークスペース ストレージ用の暗号化キー構成] のいずれか、あるいはその両方として、前の手順で作成した暗号化キー構成を選択します。

  6. 保存」をクリックします。