暗号化用のカスタマー マネージド キー
この記事では、暗号化用のカスタマー マネージド キーの概要について説明します。
Note
この機能を使用するには、Premium プランが必要です。
暗号化用のカスタマー マネージド キーの概要
一部のサービスとデータでは、暗号化されたデータへのアクセスを保護および制御するために、カスタマー マネージド キーの追加がサポートされています。 ご利用のクラウド内でキー管理サービスを使用して、カスタマー マネージド暗号化キーを維持することができます。
Azure Databricks では、Azure Key Vault コンテナーと Azure Key Vault Managed HSM (ハードウェア セキュリティ モジュール) からのカスタマー マネージド キーがサポートされています。
Azure Databricks には、さまざまな種類のデータに対するカスタマー マネージド キーの機能が 3 つあります。
次の表に、どの種類のデータにどのカスタマー マネージド キー機能が使用されるかを示します。
データの種類 | 場所 | カスタマー マネージド キーの機能 |
---|---|---|
ノートブックのソースとメタデータ | コントロール プレーン | マネージド サービス |
Databricks Git フォルダーによる Git 統合のために使用される個人用アクセス トークン (PAT) またはその他の資格情報 | コントロール プレーン | マネージド サービス |
シークレット マネージャー API によって格納されるシークレット | コントロール プレーン | マネージド サービス |
Databricks SQL クエリとクエリ履歴 | コントロール プレーン | マネージド サービス |
ベクター検索のインデックスとメタデータ | サーバーレス コンピューティング プレーン | マネージド サービス |
ユーザーがアクセスできる DBFS ルート データ | Azure サブスクリプション内のワークスペース ストレージ アカウントのワークスペースの DBFS ルート。 これには、FileStore 領域も含まれます。 | DBFS ルート |
ジョブの結果 | Azure サブスクリプション内のワークスペース ストレージ アカウント | DBFS ルート |
Databricks SQL の結果 | Azure サブスクリプション内のワークスペース ストレージ アカウント | DBFS ルート |
MLflow モデル | Azure サブスクリプション内のワークスペース ストレージ アカウント | DBFS ルート |
Delta Live Table | DBFS ルートで DBFS パスを使用する場合、これは、Azure サブスクリプション内のワークスペース ストレージ アカウントに格納されます。 これは、他のデータ ソースへのマウント ポイントを表す DBFS パスには適用されません。 | DBFS ルート |
対話型ノートブックの結果 | 既定では、ノートブックを対話形式で (ジョブとしてではなく) 実行すると、結果はパフォーマンスのためにコントロール プレーンに格納され、一部の大量の結果は Azure サブスクリプション内のワークスペース ストレージ アカウントに格納されます。 すべての対話型ノートブックの結果をワークスペース ストレージ アカウントに格納するように Azure Databricks を構成できます。 「対話型ノートブックの結果の保存場所を構成する」を参照してください。 | コントロール プレーンの部分的な結果の場合は、マネージド サービスにカスタマー マネージド キーを使用します。 すべての結果ストレージに対して構成できるワークスペース ストレージ アカウントの結果の場合は、DBFS ルートのカスタマー マネージド キーを使用します。 |
ノートブックのリビジョンなど、DBFS を介してアクセスできないワークスペース ストレージ アカウントの他のワークスペース システム データ。 | Azure サブスクリプション内のワークスペース ストレージ アカウント | DBFS ルート |
マネージド ディスク | クラスターなどのコンピューティング リソース内の VM の一時ディスク ストレージです。 Azure サブスクリプションの従来のコンピューティング プレーン内のコンピューティング リソースにのみ適用されます。 サーバーレス コンピューティングとカスタマー マネージド キーを参照してください。 | マネージド ディスク |
Azure サブスクリプション内のワークスペース ストレージ アカウント インスタンスのセキュリティを強化するために、二重暗号化とファイアウォール サポートを有効にすることができます。 「DBFS ルート用に二重暗号化を構成する」と「ワークスペース ストレージ アカウントのファイアウォール サポートを有効にする」を参照してください。
サーバーレス コンピューティングとカスタマー マネージド キー
Databricks SQL サーバーレスは、次をサポートします。
Databricks SQL のクエリとクエリ履歴のためのマネージド サービスのカスタマー マネージド キー。
Databricks SQL の結果のDBFS ルート ストレージのカスタマー マネージド キー。
マネージド ディスク ストレージ用のカスタマー マネージド キーは、サーバーレス コンピューティング リソースには適用されません。 サーバーレス コンピューティング リソース用のディスクは有効期間が短く、サーバーレス ワークロードのライフサイクルに関連付けられています。 コンピューティング リソースが停止またはスケールダウンされると、VM とそのストレージは破棄されます。
モデルの提供
サーバーレス コンピューティング機能である Model Serving のリソースは、通常、次の 2 つのカテゴリに分類されます。
- モデル用に作成したリソースは、ADLSgen2 のワークスペース ストレージ (古いワークスペースの場合は BLOB ストレージ) 内のワークスペースの DBFS ルートに格納されます。 これには、モデルの成果物とバージョン メタデータが含まれます。 ワークスペース モデル レジストリと MLflow の両方で、このストレージが使用されます。 このストレージは、カスタマー マネージド キーを使用するように構成できます。
- Azure Databricks がユーザーに代わって直接作成するリソースには、モデル イメージとエフェメラル サーバーレス コンピューティング ストレージが含まれます。 これらは Databricks マネージド キーで暗号化されます。カスタマー マネージド キーはサポートされていません。
マネージド ディスク ストレージのカスタマー マネージド キーは、サーバーレス コンピューティング リソースには適用されません。 サーバーレス コンピューティング リソース用のディスクは有効期間が短く、サーバーレス ワークロードのライフサイクルに関連付けられています。 コンピューティング リソースが停止またはスケールダウンされると、VM とそのストレージは破棄されます。