注記
この機能は、Premium プランでのみ使用できます。
Azure portal を使用して独自の暗号化キーを構成し、ワークスペース ストレージ アカウントを暗号化することができます。 この記事では、Azure Key Vault コンテナーから独自のキーを構成する方法について説明します。 Azure Key Vault マネージド HSM からのキーの使用手順については、「Azure portal を使用した DBFS 用の HSM カスタマー マネージド キーの構成」を参照してください。
DBFS 用のカスタマー マネージド キーの詳細については、「DBFS ルート用のカスタマー マネージド キー」を参照してください。
Azure Key Vault でキーを作成する
このセクションでは、Azure キー コンテナーにキーを作成する方法について説明します。 ワークスペースと同じ Microsoft Entra ID テナントにあるキー コンテナーを使用する必要があります。
同じリージョンに既存のキー ボールトが既にある場合は、この手順の最初のステップをスキップできます。 ただし、Azure portal を使用して DBFS ルート暗号化用のカスタマー マネージド キーを割り当てる際は、システムがキー ボールトの Soft Delete および Do Not Purge プロパティを既定で有効にすることに注意してください。 これらのプロパティの詳細については、「Azure Key Vault の論理的な削除の概要」を参照してください。
「クイック スタート: Azure portal を使用して Azure Key Vault にキーを設定して取得する」の手順に従って、キー コンテナーを作成します。
Azure Databricks ワークスペースとキー コンテナーは、同じリージョンと同じ Microsoft Entra ID テナントに存在する必要がありますが、異なるサブスクリプションに存在する可能性があります。
キー コンテナーにキーを作成し、引き続きクイック スタートの手順に従います。
DBFS ルート ストレージでは、2048、3072、および 4096 のサイズの RSA キーと RSA-HSM キーがサポートされています。 キーの詳細については、「 Azure Key Vault キーについて」を参照してください。
キーが作成されたら、キー識別子をコピーしてテキスト エディターに貼り付けます。 これは Azure Databricks のキーを構成するときに必要になります。
キーを使用してワークスペース ストレージ アカウントを暗号化する
Azure Key Vault のキーを操作するには、Key Vault Contributor ロール が必要です。
Azure portal で、Azure Databricks サービス リソースに移動します。
左側のメニューの [設定] で、[暗号化] を選択します。
[ 独自のキーを使用する] を選択し、キーの キー識別子を入力して、キーを含む サブスクリプション を選択します。 "キーのバージョン" が指定されていない場合は、最新バージョンのキーが使用されます。 関連情報については、キーのバージョンに関する Azure ドキュメントの記事を参照してください。
[保存] をクリックしてキーの構成を保存します。
暗号化が有効になっている場合、システムはキー ボールトで ソフト削除とパージ保護を有効にし、DBFS ルートにマネージドIDを作成し、このIDのアクセス ポリシーをキー ボールトに追加します。
注記
キー コンテナーで RBAC を使用している場合は、Key Vault のワークスペース ストレージ アカウント ID に Key Vault Crypto Service Encryption ユーザー ロールを付与します。
キーを再生成 (ローテーション) する
キーを再生成する場合は、Azure Databricks サービス リソースの [暗号化] ページに戻り、[キー識別子] フィールドを新しいキー識別子で更新し、[保存] をクリックする必要があります。 これは、同じキーの新しいバージョンと新しいキーに適用されます。
重要
暗号化に使用されたキーを削除すると、DBFS ルート内のデータにアクセスできません。 Azure Key Vault API を使用して、削除されたキーを回復できます。