暗号化用のカスタマーマネージドキー

この記事では、顧客管理の暗号化キーの概要を説明します。

この機能を利用するには、 プレミアムプランが必要です。

顧客管理キーの暗号化を構成するには、 「顧客管理キーの暗号化の構成」を参照してください。

暗号化用の顧客管理キーの概要

一部のサービスとデータは、暗号化されたデータへのアクセスの保護と制御に役立つ顧客管理キーの追加をサポートしています。 クラウド内のキー管理サービスを使用して、顧客管理の暗号化キーを維持できます。

Databricks には、さまざまな種類のデータと場所が関係する、顧客管理の 2 つの主要なユース ケースがあります。

  • マネージドサービス: Databricks コントロール プレーン内のデータ (ノートブック、シークレット、および Databricks SQL クエリ データ)。

  • ワークスペース ストレージ: 2 つのワークスペース GCS バケットとコンピュート リソースの GCE Persistent Disk ボリューム。

ワークスペース ストレージ用にカスタマー マネージド キーを構成するには、 「暗号化用のカスタマー マネージド キーの構成」を参照してください。

マネージドサービスの顧客管理キー

Databricksコントロール プレーン内のマネージド サービス データは保存時に暗号化されます。 マネージド サービスの顧客管理キーを追加すると、次の種類の暗号化データへのアクセスを保護および制御できます。

マネージド サービスの顧客管理キーを構成するには、 「暗号化用の顧客管理キーの構成」を参照してください。

ワークスペースストレージ用の顧客管理キー

ワークスペース ストレージに顧客管理キーを追加して、次の種類の暗号化データへのアクセスを保護および制御できます。

  • ワークスペースの 2 つの GCS バケット: ワークスペース ストレージ暗号化キーを追加すると、Databricks は、ワークスペースの作成時に指定した Google クラウド プロジェクトに関連付けられた 2 つの GCS バケット上のデータを暗号化します。 これらは、ワークスペースのルート GCS バケットと呼ばれることもあります。 1 つのバケットにはワークスペースのDBFS ルートが含まれており、これには DBFS ルート内の FileStore 領域、 MLflow モデル、およびDeltaライブ テーブルデータが含まれます ( DBFS マウントではありません)。 別のバケットには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、およびその他のワークスペース データを含むワークスペースのシステム データが含まれています。

  • クラスターの GCE 永続ディスク: ワークスペース ストレージ暗号化キーは、 Databricks Runtimeクラスター ノードの GCE 永続ディスクと、クラシック プレーン内のその他の ワークスペース リソース を暗号化するために使用されます。

顧客管理キーの使用例を比較する

次の表は、カスタマーマネージドキー機能がどのタイプのデータに使用されるかを示しています。

データのタイプ

場所

使用するカスタマーマネージドキー機能

ノートブックのソースとメタデータ

コントロール プレーン

マネージドサービス

Databricks Git フォルダーとの Git 統合に使用される個人アクセスウイルス (PAT) またはその他の資格情報

コントロール プレーン

マネージドサービス

シークレットマネージャーAPIによって保存されたシークレット

コントロール プレーン

マネージドサービス

Databricks SQLクエリーとクエリー履歴

コントロール プレーン

マネージドサービス

Databricks Runtime クラスター ノードとその他のコンピュート リソース用のリモート GCE 永続ディスク ボリューム。

Google クラウド アカウントのクラシック コンピュート プレーン

ワークスペースストレージ

顧客がアクセス可能なDBFSルートデータ

ワークスペースの 2 つの GCS バケット 内のワークスペースの DBFS ルート は、Google プロジェクトにバケットされます。これには、ファイルストア領域も含まれます。

ワークスペースストレージ

ジョブの結果

Google クラウド アカウント内のワークスペースの2 つの GCS バケット

ワークスペースストレージ

Databricks SQLクエリーの結果

Google クラウド アカウント内のワークスペースの2 つの GCS バケット

ワークスペースストレージ

MLflowモデル

Google クラウド アカウント内のワークスペースの2 つの GCS バケット

ワークスペースストレージ

Delta Live Tables

DBFS ルートで DBFS パスを使用する場合、これは Google クラウド アカウント内のワークスペースの2 つの GCS バケットに保存されます。 これは、他のデータソースへのマウント ポイントを表す DBFS パスには適用されません。

ワークスペースストレージ

対話型ノートブックの結果

デフォルトでは、ノートブックを(ジョブとしてではなく)インタラクティブに実行すると、結果はパフォーマンスのためにコントロールプレーンに保存され、一部の大きな結果は Google クラウド アカウントのワークスペースの 2 つの GCS バケット に保存されます。 すべての対話型ノートブックの結果を Google クラウド アカウントに保存するように Databricks を構成することを選択できます。

コントロール プレーンの部分的な結果については、マネージド サービスの顧客管理キーを使用してください。 すべての結果ストレージに対して構成できる 2 つの GCS バケットの結果については、ワークスペース ストレージにカスタマー管理のキーを使用します。