Azure portal を使用して DBFS 用のカスタマー マネージド キーを構成する
注意
この機能は、Premium プランでのみ使用できます。
Azure portal を使用して独自の暗号化キーを構成し、ワークスペース ストレージ アカウントを暗号化することができます。 この記事では、Azure Key Vault コンテナーから独自のキーを構成する方法について説明します。 Azure Key Vault マネージド HSM からのキーの使用手順については、「Azure portal を使用した DBFS 用の HSM カスタマー マネージド キーの構成」を参照してください。
DBFS 用のカスタマー マネージド キーの詳細については、「DBFS ルート用のカスタマー マネージド キー」を参照してください。
Azure Key Vault でキーを作成する
このセクションでは、Azure キー コンテナーにキーを作成する方法について説明します。 ワークスペースと同じ Microsoft Entra ID テナントにある Key Vault を使用する必要があります。
同じリージョンに既存のキー コンテナーが既にある場合は、この手順の最初の手順をスキップできます。 ただし、Azure portal を使用して DBFS ルート暗号化用のカスタマー マネージド キーを割り当てると、システムでは Key Vault の [論理的な削除] と [Do Not Purge](消去しない) プロパティが既定で有効になります。 これらのプロパティの詳細については、「Azure Key Vault の論理的な削除の概要」を参照してください。
「クイックスタート: Azure portal を使用して Azure Key Vault との間でキーの設定と取得を行う」の手順に従って、Key Vault を作成します。
Azure Databricks ワークスペースと Key Vault は同じリージョンの同じ Microsoft Entra ID テナント内に存在する必要がありますが、サブスクリプションは異なっていてもかまいません。
Key Vault にキーを作成し、引き続きクイックスタートの手順に従います。
DBFS ルート ストレージでは、2048、3072、および 4096 のサイズの RSA キーと RSA-HSM キーがサポートされています。 キーの詳細については、「Key Vault のキーについて」を参照してください。
キーが作成されたら、キー識別子をコピーしてテキスト エディターに貼り付けます。 これは Azure Databricks のキーを構成するときに必要になります。
キーを使用してワークスペース ストレージ アカウントを暗号化する
Azure portal で、Azure Databricks サービス リソースに移動します。
左側のメニューの [設定] で、[暗号化] を選択します。
[独自のキーを使用する] を選択し、キーの [キー識別子] を入力して、キーを含む [サブスクリプション] を選択します。 "キーのバージョン" が指定されていない場合は、最新バージョンのキーが使用されます。 関連情報については、キーのバージョンに関する Azure ドキュメントの記事を参照してください。
[保存] をクリックしてキーの構成を保存します。
注意
保存できるのは、Key Vault に対して Key Vault の共同作成者ロール以上のロールを持つユーザーのみです。
暗号化を有効にすると、システムでは Key Vault の [論理的な削除] と [消去保護] が有効になり、DBFS ルートにマネージド ID が作成され、Key Vault にこの ID のアクセス ポリシーが追加されます。
キーを再生成 (ローテーション) する
キーを再生成する場合は、Azure Databricks サービス リソースの [暗号化] ページに戻り、[キー識別子] フィールドを新しいキー識別子で更新し、[保存] をクリックする必要があります。 これは、同じキーの新しいバージョンと新しいキーに適用されます。
重要
暗号化に使用されたキーを削除すると、DBFS ルート内のデータにアクセスできません。 Azure Key Vault API を使用して、削除されたキーを回復できます。