Google
Cloud Platform
Amazon Web Services
Microsoft Azure暗号化用のカスタマーマネージドキー
この記事では、顧客管理の暗号化キーの概要を説明します。
注
この機能を利用するには、 プレミアムプランが必要です。
顧客管理キーの暗号化を構成するには、 「顧客管理キーの暗号化の構成」を参照してください。
暗号化用の顧客管理キーの概要
一部のサービスとデータは、暗号化されたデータへのアクセスの保護と制御に役立つ顧客管理キーの追加をサポートしています。 クラウド内のキー管理サービスを使用して、顧客管理の暗号化キーを維持できます。
Databricks には、さまざまな種類のデータと場所が関係する、顧客管理の 2 つの主要なユース ケースがあります。
マネージドサービス: Databricks コントロール プレーン内のデータ (ノートブック、シークレット、および Databricks SQL クエリ データ)。
ワークスペース ストレージ: 2 つのワークスペース GCS バケットとコンピュート リソースの GCE Persistent Disk ボリューム。
ワークスペース ストレージ用にカスタマー マネージド キーを構成するには、 「暗号化用のカスタマー マネージド キーの構成」を参照してください。
マネージドサービスの顧客管理キー
Databricksコントロール プレーン内のマネージド サービス データは保存時に暗号化されます。 マネージド サービスの顧客管理キーを追加すると、次の種類の暗号化データへのアクセスを保護および制御できます。
Databricksコントロール プレーンのノートブック ソース。
コントロール プレーンに保存される、 小説 の実行結果を対話的に (ジョブとしてではなく) 表示します。 デフォルトでは、より大きな結果もワークスペースのルート バケットに保存されます。 すべてのインタラクティブ ノートブックの結果をクラウド アカウントに保存するように Databricks を構成できます。
Databricks シークレットに保存されているシークレット。
Databricks SQLクエリとクエリ履歴。
Databricks Git フォルダーとの Git 統合をセットアップするために使用される個人アクセス内部 (PAT) またはその他の資格情報。
マネージド サービスの顧客管理キーを構成するには、 「暗号化用の顧客管理キーの構成」を参照してください。
ワークスペースストレージ用の顧客管理キー
ワークスペース ストレージに顧客管理キーを追加して、次の種類の暗号化データへのアクセスを保護および制御できます。
ワークスペースの 2 つの GCS バケット: ワークスペース ストレージ暗号化キーを追加すると、Databricks は、ワークスペースの作成時に指定した Google クラウド プロジェクトに関連付けられた 2 つの GCS バケット上のデータを暗号化します。 これらは、ワークスペースのルート GCS バケットと呼ばれることもあります。 1 つのバケットにはワークスペースのDBFS ルートが含まれており、これには DBFS ルート内の FileStore 領域、 MLflow モデル、およびDeltaライブ テーブルデータが含まれます ( DBFS マウントではありません)。 別のバケットには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、およびその他のワークスペース データを含むワークスペースのシステム データが含まれています。
クラスターの GCE 永続ディスク: ワークスペース ストレージ暗号化キーは、 Databricks Runtimeクラスター ノードの GCE 永続ディスクと、クラシック プレーン内のその他の ワークスペース リソース を暗号化するために使用されます。
顧客管理キーの使用例を比較する
次の表は、カスタマーマネージドキー機能がどのタイプのデータに使用されるかを示しています。
データのタイプ |
場所 |
使用するカスタマーマネージドキー機能 |
|---|---|---|
ノートブックのソースとメタデータ |
マネージドサービス |
|
Databricks Git フォルダーとの Git 統合に使用される個人アクセスウイルス (PAT) またはその他の資格情報 |
マネージドサービス |
|
シークレットマネージャーAPIによって保存されたシークレット |
マネージドサービス |
|
Databricks SQLクエリーとクエリー履歴 |
マネージドサービス |
|
Databricks Runtime クラスター ノードとその他のコンピュート リソース用のリモート GCE 永続ディスク ボリューム。 |
ワークスペースストレージ |
|
ワークスペースの 2 つの GCS バケット 内のワークスペースの DBFS ルート は、Google プロジェクトにバケットされます。これには、ファイルストア領域も含まれます。 |
ワークスペースストレージ |
|
ジョブの結果 |
Google クラウド アカウント内のワークスペースの2 つの GCS バケット |
ワークスペースストレージ |
Databricks SQLクエリーの結果 |
Google クラウド アカウント内のワークスペースの2 つの GCS バケット |
ワークスペースストレージ |
Google クラウド アカウント内のワークスペースの2 つの GCS バケット |
ワークスペースストレージ |
|
DBFS ルートで DBFS パスを使用する場合、これは Google クラウド アカウント内のワークスペースの2 つの GCS バケットに保存されます。 これは、他のデータソースへのマウント ポイントを表す DBFS パスには適用されません。 |
ワークスペースストレージ |
|
デフォルトでは、ジョブとしてではなくインタラクティブにドキュメントを実行すると、パフォーマンス上の理由から結果はコントロール プレーンに保存され、一部の大きな結果は Google クラウド アカウント内のワークスペースの2 つのGCSバケットに保存されます。 Databricksすべてのインタラクティブなデータの結果を Google クラウド アカウントに保存する ように を構成することもできます。 |
コントロール プレーンでの部分的な結果については、 マネージド サービス の顧客管理キーを使用します。 すべての結果ストレージ用に構成できる2 つの GCS バケット内の結果については、ワークスペース ストレージに顧客管理キーを使用します。 |
