データのセキュリティと暗号化

この記事では、データの保護に役立つデータ セキュリティ構成について説明します。

データへのアクセスを保護する方法については、 「Unity Catalogを使用したデータガバナンス」を参照してください。

データのセキュリティと暗号化の概要

Databricks には、データの保護に役立つ暗号化機能が用意されています。 すべてのセキュリティ機能がすべての価格レベルで使用できるわけではありません。 次の表に、機能の概要と、価格プランとの整合性を示します。

特徴

価格レベル

暗号化用のカスタマー マネージド キー

プレミアム

顧客管理キーの暗号化を有効にする

  • マネージドサービスの顧客管理キー: Databricks コントロール プレーン内のマネージドサービス データは、保存時に暗号化されます。 マネージドサービスの Customer マネージド キーを追加して、次の種類の暗号化データへのアクセスを保護および制御できます。

    • コントロールプレーンに保存されているノートブックソースファイル。

    • コントロール プレーンに格納されているノートブックのノートブック結果。

    • シークレット マネージャーによって格納されるシークレット APIs.

    • Databricks SQL クエリーとクエリーの歴史。

    • Databricks Git フォルダーとの Git 統合をセットアップするために使用される個人アクセストークンまたはその他の資格情報。

  • ワークスペース ストレージの顧客管理キー: Databricks は、データへのアクセスの保護と制御に役立つワークスペース ストレージの顧客管理キーの追加をサポートしています。 独自のキーを構成して、ワークスペースの作成時に指定した Google クラウド プロジェクトに関連付けられた GCS バケット上のデータを暗号化できます。 同じキーは、クラスターの GCE 永続ディスクの暗号化にも使用されます。

Databricks のさまざまな種類のデータを保護する顧客マネージド キー機能の詳細については、「 暗号化のためのカスタマー マネージド キー」を参照してください。

クラスターのワーカーノード間のトラフィックを暗号化する

デフォルトでは、クラスター内のワーカー ノード間で交換されるデータは暗号化されます。 Google は、Google が管理していない、または Google に代わってデータが物理的な境界外に移動する場合、1 つ以上のネットワーク層で転送中のデータを暗号化します。 VPC ネットワークおよびピアリングされた VPC ネットワーク内のすべての VM 間トラフィックは暗号化されます。 詳しくは、Google のホワイトペーパー「 転送中の暗号化」をご覧ください。

ワークスペース設定の管理

Databricks ワークスペース管理者は、ノートブックのダウンロード機能やユーザー分離クラスター アクセス モードの適用など、ワークスペースのセキュリティ設定を管理できます。 詳細については、 「ワークスペースの管理」を参照してください。