暗号化用のカスタマー マネージド キー
この記事では、暗号化用のカスタマー マネージド キーの概要について説明します。
Note
この機能を使用するには、Premium プランが必要です。
暗号化用のカスタマー マネージド キーの概要
一部のサービスとデータでは、暗号化されたデータへのアクセスを保護および制御するために、カスタマー マネージド キーの追加がサポートされています。 ご利用のクラウド内でキー管理サービスを使用して、カスタマー マネージド暗号化キーを維持することができます。
Azure Databricks では、Azure Key Vault コンテナーと Azure Key Vault Managed HSM (ハードウェア セキュリティ モジュール) からのカスタマー マネージド キーがサポートされています。
Azure Databricks には、さまざまな種類のデータに対するカスタマー マネージド キーの機能が 3 つあります。
次の表に、どの種類のデータにどのカスタマー マネージド キー機能が使用されるかを示します。
| データの種類 | 場所 | カスタマー マネージド キーの機能 |
|---|---|---|
| ノートブックのソースとメタデータ | コントロール プレーン | マネージド サービス |
| Databricks Git フォルダーによる Git 統合のために使用される個人用アクセス トークン (PAT) またはその他の資格情報 | コントロール プレーン | マネージド サービス |
| シークレット マネージャー API によって格納されるシークレット | コントロール プレーン | マネージド サービス |
| Databricks SQL クエリとクエリ履歴 | コントロール プレーン | マネージド サービス |
| ユーザーがアクセスできる DBFS ルート データ | Azure サブスクリプション内のワークスペース DBFS ルート ストレージにある、ワークスペースの DBFS ルート。 これには、FileStore 領域も含まれます。 | DBFS ルート |
| ジョブの結果 | Azure サブスクリプション内のワークスペース ルート DBFS ストレージ インスタンス | DBFS ルート |
| Databricks SQL の結果 | Azure サブスクリプション内のワークスペース ルート DBFS ストレージ インスタンス | DBFS ルート |
| MLflow モデル | Azure サブスクリプション内のワークスペース ルート DBFS ストレージ インスタンス | DBFS ルート |
| Delta Live Table | DBFS ルートで DBFS パスを使用する場合、これは、Azure サブスクリプション内のワークスペース ルート DBFS ストレージ インスタンスに格納されます。 これは、他のデータ ソースへのマウント ポイントを表す DBFS パスには適用されません。 | DBFS ルート |
| 対話型ノートブックの結果 | 既定では、ノートブックを対話形式で (ジョブとしてではなく) 実行すると、結果はパフォーマンスのためにコントロール プレーンに格納され、一部の大量の結果は Azure サブスクリプション内のワークスペース ルート DBFS ストレージに格納されます。 すべての対話型ノートブックの結果を Azure サブスクリプションに格納するように Azure Databricks を構成できます。 | コントロール プレーンの部分的な結果の場合は、マネージド サービスにカスタマー マネージド キーを使用します。 すべての結果ストレージに対して構成できるルート DBFS ストレージの結果の場合は、DBFS ルートのカスタマー マネージド キーを使用します。 |
| ノートブックのリビジョンなど、DBFS を介してアクセスできないルート DBFS ストレージ内の他のワークスペース システム データ。 | Azure サブスクリプション内のワークスペース ルート DBFS ストレージ | DBFS ルート |
| マネージド ディスク | クラスターなどのコンピューティング リソース内の VM の一時ディスク ストレージです。 Azure サブスクリプションの従来のコンピューティング プレーン内のコンピューティング リソースにのみ適用されます。 サーバーレス コンピューティングとカスタマー マネージド キーを参照してください。 | マネージド ディスク |
Azure サブスクリプション内のワークスペースのルート DBFS ストレージ インスタンスのセキュリティを強化するために、DBFS ルートの二重暗号化を有効にすることができます。
サーバーレス コンピューティングとカスタマー マネージド キー
Databricks SQL サーバーレスは、次をサポートします。
Databricks SQL のクエリとクエリ履歴のためのマネージド サービスのカスタマー マネージド キー。
Databricks SQL の結果のルート DBFS ストレージのカスタマー マネージド キー。
マネージド ディスク ストレージ用のカスタマー マネージド キーは、サーバーレス コンピューティング リソースには適用されません。 サーバーレス コンピューティング リソース用のディスクは有効期間が短く、サーバーレス ワークロードのライフサイクルに関連付けられています。 コンピューティング リソースが停止またはスケールダウンされると、VM とそのストレージは破棄されます。
モデルの提供
サーバーレス コンピューティング機能である Model Serving のリソースは、通常、次の 2 つのカテゴリに分類されます。
- モデル用に作成したリソースは、ADLSgen2 のワークスペース ストレージ (古いワークスペースの場合は BLOB ストレージ) 内のワークスペースの DBFS ルートに格納されます。 これには、モデルの成果物とバージョン メタデータが含まれます。 ワークスペース モデル レジストリと MLflow の両方で、このストレージが使用されます。 このストレージは、カスタマー マネージド キーを使用するように構成できます。
- Azure Databricks がユーザーに代わって直接作成するリソースには、モデル イメージとエフェメラル サーバーレス コンピューティング ストレージが含まれます。 これらは Databricks マネージド キーで暗号化されます。カスタマー マネージド キーはサポートされていません。
マネージド ディスク ストレージのカスタマー マネージド キーは、サーバーレス コンピューティング リソースには適用されません。 サーバーレス コンピューティング リソース用のディスクは有効期間が短く、サーバーレス ワークロードのライフサイクルに関連付けられています。 コンピューティング リソースが停止またはスケールダウンされると、VM とそのストレージは破棄されます。