注
この機能を使用するには、Premium プランが必要です。
このページでは、暗号化のためのカスタマー マネージド キーの概要を示します。 一部のサービスとデータでは、暗号化されたデータへのアクセスを保護および制御するために、カスタマー マネージド キーの追加がサポートされています。 ご利用のクラウド内でキー管理サービスを使用して、カスタマー マネージド暗号化キーを維持することができます。
Azure Databricksでは、Azure Key Vault コンテナーと Azure Key Vault Managed HSM (ハードウェア セキュリティ モジュール) からのカスタマー マネージド キーがサポートされます。
カスタマー マネージド キーのユースケース
Azure Databricksには、さまざまな種類のデータに対する 3 つのカスタマー マネージド キー機能があります。
次の表に、どの種類のデータにどのカスタマー マネージド キー機能が使用されるかを示します。
| データの種類 | 場所 | カスタマー マネージド キーの機能 |
|---|---|---|
| AI/BI ダッシュボード | 制御プレーン | マネージド サービス |
| ジーニースペース | 制御プレーン | マネージド サービス |
| ノートブックのソースとメタデータ | 制御プレーン | マネージド サービス |
| Databricks Git フォルダーによる Git 統合のために使用される個人用アクセス トークン (PAT) またはその他の資格情報 | 制御プレーン | マネージド サービス |
| シークレット マネージャー API によって格納されるシークレット | 制御プレーン | マネージド サービス |
| Databricks SQL クエリとクエリ履歴 | 制御プレーン | マネージド サービス |
| ベクター検索のインデックスとメタデータ | サーバーレス コンピューティング プレーン | マネージド サービス |
| Lakebase のプロジェクト データの自動スケール | 制御プレーン | マネージド サービス |
| ユーザーがアクセスできる DBFS ルート データ | あなたのワークスペースの Azure サブスクリプション内のワークスペース ストレージ アカウントにある DBFS ルート。 これには、FileStore 領域も含まれます。 | DBFS ルート |
| ジョブの結果 | Azure サブスクリプションのワークスペース ストレージ アカウント | DBFS ルート |
| Databricks SQL の結果 | Azure サブスクリプションのワークスペース ストレージ アカウント | DBFS ルート |
| MLflow モデル | Azure サブスクリプションのワークスペース ストレージ アカウント | DBFS ルート |
| Lakeflow Spark 宣言型パイプライン | DBFS ルートで DBFS パスを使用する場合、これは Azure サブスクリプションのワークスペース ストレージ アカウントに格納されます。 これは、他のデータ ソースへのマウント ポイントを表す DBFS パスには適用されません。 | DBFS ルート |
| 対話型ノートブックの結果 | 既定では、ノートブックを (ジョブとしてではなく) 対話形式で実行すると、パフォーマンスのためにコントロール プレーンに結果が格納され、Azure サブスクリプションのワークスペース ストレージ アカウントにいくつかの大きな結果が格納されます。 すべての対話型ノートブックの結果をワークスペース ストレージ アカウントに格納するようにAzure Databricksを構成できます。 「対話型ノートブックの結果の保存場所を構成する」を参照してください。 | コントロール プレーンの部分的な結果の場合は、マネージド サービスにカスタマー マネージド キーを使用します。 すべての結果ストレージに対して構成できるワークスペース ストレージ アカウントの結果の場合は、DBFS ルートのカスタマー マネージド キーを使用します。 |
| ノートブックのリビジョンなど、DBFS を介してアクセスできないワークスペース ストレージ アカウントの他のワークスペース システム データ。 | Azure サブスクリプションのワークスペース ストレージ アカウント | DBFS ルート |
| マネージド ディスク | クラスターなどのコンピューティング リソース内の VM の一時ディスク ストレージです。 Azure サブスクリプションのクラシック コンピューティング プレーン内のコンピューティング リソースにのみ適用されます。 サーバーレス コンピューティングとカスタマー マネージド キーを参照してください。 | マネージド ディスク |
| モデル提供用コンテナーイメージと成果物 | 制御プレーン | マネージド サービス |
Azure サブスクリプションのワークスペース ストレージ アカウント インスタンスのセキュリティを強化するために、二重暗号化とファイアウォールのサポートを有効にすることができます。 「DBFS ルート用に二重暗号化を構成する」と「ワークスペース ストレージ アカウントのファイアウォール サポートを有効にする」を参照してください。
重要
2024 年 11 月 1 日以降に作成された AI/BI ダッシュボードのみが暗号化され、カスタマー マネージド キーと互換性があります。
2025 年 4 月 10 日以降に作成された Genie スペースのみが暗号化され、カスタマー マネージド キーと互換性があります。
サーバーレス コンピューティングとカスタマー マネージド キー
Databricks SQL サーバーレスは、次をサポートします。
Databricks SQL のクエリとクエリ履歴のためのマネージド サービスのカスタマー マネージド キー。
Databricks SQL の結果のDBFS ルート ストレージのカスタマー マネージド キー。
マネージド ディスク ストレージ用のカスタマー マネージド キーは、サーバーレス コンピューティング リソースには適用されません。 サーバーレス コンピューティング リソース用のディスクは有効期間が短く、サーバーレス ワークロードのライフサイクルに関連付けられています。 コンピューティング リソースが停止またはスケールダウンされると、VM とそのストレージは破棄されます。
Model Serving
サーバーレス コンピューティング機能である Model Serving のリソースは、通常、次の 2 つのカテゴリに分類されます。
- 作成するリソース: モデル成果物とバージョン メタデータは、ワークスペースのルート ストレージに格納されます。 モデル サービスと MLflow の両方で、このストレージが使用されます。 このデータのカスタマー マネージド キー暗号化を構成できます。
- Azure Databricksが作成するリソース: コンテナー イメージとモデル成果物は、Databricksの管理レジストリに格納されます。 マネージド サービスのカスタマー マネージド キーは、このデータを暗号化します。