暗号化用のカスタマーマネージドキー

この記事では、顧客管理の暗号化キーの概要を説明します。

注

この機能を利用するには、 プレミアムプランが必要です。

顧客管理キーの暗号化を構成するには、 「顧客管理キーの暗号化の構成」を参照してください。

暗号化用の顧客管理キーの概要

一部のサービスとデータは、暗号化されたデータへのアクセスの保護と制御に役立つ顧客管理キーの追加をサポートしています。 クラウド内のキー管理サービスを使用して、顧客管理の暗号化キーを維持できます。

Databricks には、さまざまな種類のデータと場所が関係する、顧客管理の 2 つの主要なユース ケースがあります。

• マネージドサービス: Databricks コントロール プレーン内のデータ (ノートブック、シークレット、および Databricks SQL クエリ データ)。

• ワークスペース ストレージ: コンピューティング リソースの 2 つのワークスペース ストレージ バケットと GCE 永続ディスク ボリューム。

ワークスペース ストレージ用にカスタマー マネージド キーを構成するには、 「暗号化用のカスタマー マネージド キーの構成」を参照してください。

マネージドサービスの顧客管理キー

Databricksコントロール プレーン内のマネージド サービス データは保存時に暗号化されます。 マネージド サービスの顧客管理キーを追加すると、次の種類の暗号化データへのアクセスを保護および制御できます。

• Databricksコントロール プレーンのノートブック ソース。

• コントロール プレーンに保存される、 小説 の実行結果を対話的に (ジョブとしてではなく) 表示します。 デフォルトでは、より大きな結果もワークスペースのルート バケットに保存されます。 すべてのインタラクティブ ノートブックの結果をクラウド アカウントに保存するように Databricks を構成できます。

• Databricks シークレットに保存されているシークレット。

• Databricks SQLクエリとクエリ履歴。

• Databricks Git フォルダーとの Git 統合をセットアップするために使用される個人アクセス内部 (PAT) またはその他の資格情報。

マネージド サービスの顧客管理キーを構成するには、 「暗号化用の顧客管理キーの構成」を参照してください。

ワークスペースストレージ用の顧客管理キー

ワークスペース ストレージに顧客管理キーを追加して、次の種類の暗号化データへのアクセスを保護および制御できます。

• ワークスペース ストレージ バケット : ワークスペース ストレージ暗号化キーを追加すると、Databricks GCSDatabricks、ワークスペースの作成時に によって作成された Google クラウド プロジェクトに関連付けられた 2 つの バケットのデータを暗号化します。これらはワークスペース ストレージ バケットと呼ばれます。 1 つのバケットにはDBFS ルート が含まれており、これにはMLflow DeltaDBFSルート (DBFS マウントではない) 内の FileStore 領域、 モデル、 Live Table データが含まれます。別のバケットには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、その他のワークスペース データを含むワークスペース システム データが含まれます。

• クラスターの GCE 永続ディスク: ワークスペース ストレージ暗号化キーは、 Databricks Runtimeクラスター ノードの GCE 永続ディスクと、クラシック プレーン内のその他の ワークスペース リソース を暗号化するために使用されます。

顧客管理キーの使用例を比較する

次の表は、カスタマーマネージドキー機能がどのタイプのデータに使用されるかを示しています。

データのタイプ	場所	使用するカスタマーマネージドキー機能
ノートブックのソースとメタデータ	コントロール プレーン	マネージドサービス
Databricks Git フォルダーとの Git 統合に使用される個人アクセストークン (PAT) またはその他の資格情報	コントロール プレーン	マネージドサービス
シークレットマネージャーAPIによって保存されたシークレット	コントロール プレーン	マネージドサービス
Databricks SQLクエリーとクエリー履歴	コントロール プレーン	マネージドサービス
Databricks Runtime クラスター ノードとその他のコンピュート リソース用のリモート GCE 永続ディスク ボリューム。	Google クラウド アカウントのクラシック コンピュート プレーン。	ワークスペースストレージ
顧客がアクセス可能なDBFSルートデータ	ワークスペース ストレージ バケット内のDBFS ルート。 これには、ファイルストア領域も含まれます。	ワークスペースストレージ
ジョブの結果	Google クラウド アカウントのワークスペース ストレージ バケット	ワークスペースストレージ
Databricks SQLクエリーの結果	Google クラウド アカウントのワークスペース ストレージ バケット	ワークスペースストレージ
MLflowモデル	Google クラウド アカウントのワークスペース ストレージ バケット	ワークスペースストレージ
Delta Live Tables	DBFS ルートでDBFSパスを使用する場合、これは Google クラウド アカウントのワークスペース ストレージ バケットに保存されます。 これは、他のデータソースへのマウント ポイントを表すDBFSパスには適用されません。	ワークスペースストレージ
対話型ノートブックの結果	デフォルトでは、ジョブとしてではなくインタラクティブにドキュメントを実行すると、パフォーマンス向上のため、結果はコントロール プレーンに保存され、一部の大きな結果は Google クラウド アカウントのワークスペース ストレージ バケットに保存されます。 すべてのインタラクティブなデータの結果を Google クラウド アカウントに保存するようにDatabricksを構成することもできます。 「インタラクティブ ノートブックの結果の保存場所を構成する」を参照してください。	コントロール プレーンでの部分的な結果については、 マネージド サービス の顧客管理キーを使用します。 すべての結果ストレージ用に構成できる 2 つの GCS バケット内の結果については、ワークスペース ストレージに顧客管理キーを使用します。 「インタラクティブ ノートブックの結果の保存場所を構成する」を参照してください。