顧客管理キーの暗号化を構成する
プレビュー
この機能は パブリックプレビュー版です。
アカウント管理者は、Databricks アカウント コンソールを使用して、顧客管理キーの暗号化を構成できます。 アカウント キー構成 APIを使用して顧客管理キーを構成することもできます。
顧客管理キーを追加するには、Databricks の使用例が 2 つあります。
Databricks コントロール プレーン内のマネージドサービス データ (ノートブック、シークレット、および Databricks SQL クエリ データ)。
ワークスペース ストレージ (2 つの ワークスペース ストレージ バケットと コンピュートリソース の GCE 永続ディスク ボリューム)。
カスタマー マネージド キーの使用例を比較するには、 「カスタマー マネージド キーの使用例の比較」を参照してください。
この機能を利用するには、 プレミアムプランが必要です。
暗号化キーの構成とは
顧客管理キーは、暗号化キー構成を使用して管理されます。 暗号化キー構成は、クラウドのキーを参照するアカウント レベルのオブジェクトです。
アカウント管理者はアカウント コンソールで暗号化キー構成を作成し、暗号化キー構成を 1 つ以上のワークスペースに添付できます。
Databricks キー構成オブジェクトは、2 つの異なる暗号化ユース ケース (マネージド サービスとワークスペース ストレージ) 間で共有できます。
暗号化キー構成は、ワークスペースの作成時にのみ Databricks ワークスペースに追加できます。
ステップ 1: Cloud KMS でキーを作成または選択する
ワークスペース ストレージとマネージドサービスのユースケース間で同じクラウド KMS キーを使用できます。
「対称暗号化キーの作成」の手順に従って、クラウド KMS で 対称キーを作成または選択します。 クラウド KMS キーは、ワークスペースと同じリージョンに存在する必要があります。
KMS キーのリソース名をコピーします。
ステップ 2: 新しいキー構成を作成する
Databricks アカウント コンソールを使用して、Databricks 暗号化キー構成オブジェクトを作成します。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、 「クラウド リソース」をクリックします。
「暗号化キー構成」タブをクリックします。
「 暗号化キーの追加」をクリックします。
この暗号化キーのユースケースを選択します。
マネージドサービスとワークスペースストレージの両方
マネージドサービス
ワークスペースストレージ
[KMS キー ID]フィールドに、上でコピーしたリソース名を入力します。
「追加」をクリックします。
ステップ 3: 新しいワークスペースを作成する
作成した暗号化キー構成を使用してワークスペースを作成します。 暗号化キーの設定でワークスペースを作成するには、クラウド KMS キーに対する Google の権限cloudkms.cryptoKeys.getIamPolicy
とcloudkms.cryptoKeys.setIamPolicy
が必要です。
注:
このセクションでは、ワークスペースを作成するためのすべてのオプションは表示されません。 顧客管理VPCやネットワークのカスタムCIDR値などのその他の詳細フィールドの詳細については、 「アカウントコンソールを使用してワークスペースを作成する」を参照してください。
アカウントコンソールに移動します。
サイドバーで、[ワークスペース] をクリックします。
「ワークスペースの作成」をクリックします。
次のワークスペースフィールドを設定します。
ワークスペース名、ワークスペースの名前を入力します。
[リージョン] 、クラウド KMS キーと同じリージョンを選択します。
[Google クラウド プロジェクト ID] には、ワークスペースのコンピュート リソースのプロジェクトを入力します。これは、クラウド KMS キーのプロジェクト ID とは異なる場合があります。
顧客管理のキー固有のフィールドを設定します。
[ 詳細設定] をクリックします。
[顧客管理キー]で、 [マネージド サービス用の暗号化キー構成]または[ワークスペース ストレージ用の暗号化キー構成] のいずれか、あるいはその両方として、前の手順で作成した暗号化キー構成を選択します。
「 保存」をクリックします。