注
この機能は、Premium プランでのみ使用できます。
データをさらに制御するために、独自のキーを追加して、一部のデータの型へのアクセスを保護および制御できます。 Azure Databricks には、さまざまな種類のデータと場所を含むカスタマー マネージド キーの機能が 2 つあります。 比較については、「暗号化用のカスタマー マネージド キー」を参照してください。
既定では、ストレージ アカウントは Microsoft マネージド キーを使用して暗号化されます。 DBFS ルートのカスタマー マネージド キーを追加すると、Azure Databricks はキーを使用して、ワークスペースのルート BLOB ストレージ内のすべてのデータを暗号化します。
- ワークスペース ストレージ アカウントには、ワークスペースの DBFS ルートが含まれています。これは、DBFS の既定の場所です。 Databricks ファイル システム (DBFS) は、Azure Databricks ワークスペースにマウントされ、Azure Databricks クラスター上で使用できる分散ファイル システムです。 DBFS は、Azure Databricks ワークスペースのマネージド リソース グループに BLOB ストレージ インスタンスとして実装されます。 ワークスペース ストレージ アカウントには、DBFS ルートに MLflow モデル と Lakeflow 宣言パイプライン データが含まれています ( DBFS マウントの場合は含まれません)。
- ワークスペース ストレージ アカウントには、(DBFS パスを使用して直接アクセスできない) ワークスペースのシステム データも含まれます。これには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、その他のワークスペース データが含まれます。
重要
この機能は DBFS ルート に影響しますが、追加の BLOB または ADLS ストレージの DBFS マウントなど、追加の DBFS マウント上のデータの暗号化には使用されません。 マウントはレガシ アクセス パターンです。 Databricks では、すべてのデータ アクセスを管理するために Unity カタログを使用することをお勧めします。 Unity カタログを使用したクラウド オブジェクト ストレージへの接続を参照してください。
カスタマー マネージド キーを格納するには、Azure Key Vault を使用する必要があります。 キーは、Azure Key Vault コンテナーまたは Azure Key Vault マネージド ハードウェア セキュリティ モジュール (HSM) に格納できます。 Azure Key Vault コンテナーと HSM の詳細については、「Key Vault キーについて」を参照してください。 Azure Key Vault コンテナーと Azure Key Vault HSM を使用する手順は複数あります。
Key Vault は、Azure Databricks ワークスペースと同じ Azure テナント内にある必要があります。
次の 3 つの方法で、ワークスペース ストレージ アカウント用の Azure Key Vault コンテナーを使用してカスタマー マネージド キーを有効化できます。
- Azure portal を使用して DBFS 用のカスタマー マネージド キーを構成する
- Azure CLI を使用して DBFS 用のカスタマー マネージド キーを構成する
- PowerShell を使用して DBFS 用のカスタマー マネージド キーを構成する
次の 3 つの方法で、ワークスペース ストレージ アカウント用の Azure Key Vault HSM を使用してカスタマー マネージド キーを有効化することもできます。