注
この機能を使用するには、Premium プランが必要です。
このページでは、暗号化のためのカスタマー マネージド キーの概要を示します。 一部のサービスとデータでは、暗号化されたデータへのアクセスを保護および制御するために、カスタマー マネージド キーの追加がサポートされています。 ご利用のクラウド内でキー管理サービスを使用して、カスタマー マネージド暗号化キーを維持することができます。
Azure Databricks では、Azure Key Vault コンテナーと Azure Key Vault Managed HSM (ハードウェア セキュリティ モジュール) からのカスタマー マネージド キーがサポートされています。
カスタマー マネージド キーのユース ケース
Azure Databricks には、さまざまな種類のデータに対するカスタマー マネージド キーの機能が 3 つあります。
次の表に、どの種類のデータにどのカスタマー マネージド キー機能が使用されるかを示します。
| データの種類 | 場所 | カスタマー マネージド キーの機能 |
|---|---|---|
| AI/BI ダッシュボード | コントロール プレーン | マネージド サービス |
| AI/BI ジーニー | コントロール プレーン | マネージド サービス |
| ノートブックのソースとメタデータ | コントロール プレーン | マネージド サービス |
| Databricks Git フォルダーによる Git 統合のために使用される個人用アクセス トークン (PAT) またはその他の資格情報 | コントロール プレーン | マネージド サービス |
| シークレット マネージャー API によって格納されるシークレット | コントロール プレーン | マネージド サービス |
| Databricks SQL クエリとクエリ履歴 | コントロール プレーン | マネージド サービス |
| ベクター検索のインデックスとメタデータ | サーバーレス コンピューティング プレーン | マネージド サービス |
| ユーザーがアクセスできる DBFS ルート データ | あなたのワークスペースの Azure サブスクリプションにあるワークスペース ストレージ アカウント内の DBFS ルート。 これには、FileStore 領域も含まれます。 | DBFS ルート |
| ジョブの結果 | Azure サブスクリプション内のワークスペース ストレージ アカウント | DBFS ルート |
| Databricks SQL の結果 | Azure サブスクリプション内のワークスペース ストレージ アカウント | DBFS ルート |
| MLflow モデル | Azure サブスクリプション内のワークスペース ストレージ アカウント | DBFS ルート |
| Lakeflow 宣言型パイプライン | DBFS ルートで DBFS パスを使用する場合、これは、Azure サブスクリプション内のワークスペース ストレージ アカウントに格納されます。 これは、他のデータ ソースへのマウント ポイントを表す DBFS パスには適用されません。 | DBFS ルート |
| 対話型ノートブックの結果 | 既定では、ノートブックを対話形式で (ジョブとしてではなく) 実行すると、結果はパフォーマンスのためにコントロール プレーンに格納され、一部の大量の結果は Azure サブスクリプション内のワークスペース ストレージ アカウントに格納されます。 すべての対話型ノートブックの結果をワークスペース ストレージ アカウントに格納するように Azure Databricks を構成できます。 「対話型ノートブックの結果の保存場所を構成する」を参照してください。 | コントロール プレーンの部分的な結果の場合は、マネージド サービスにカスタマー マネージド キーを使用します。 すべての結果ストレージに対して構成できるワークスペース ストレージ アカウントの結果の場合は、DBFS ルートのカスタマー マネージド キーを使用します。 |
| ノートブックのリビジョンなど、DBFS を介してアクセスできないワークスペース ストレージ アカウントの他のワークスペース システム データ。 | Azure サブスクリプション内のワークスペース ストレージ アカウント | DBFS ルート |
| マネージド ディスク | クラスターなどのコンピューティング リソース内の VM の一時ディスク ストレージです。 Azure サブスクリプションの従来のコンピューティング プレーン内のコンピューティング リソースにのみ適用されます。 サーバーレス コンピューティングとカスタマー マネージド キーを参照してください。 | マネージド ディスク |
Azure サブスクリプション内のワークスペース ストレージ アカウント インスタンスのセキュリティを強化するために、二重暗号化とファイアウォール サポートを有効にすることができます。 「DBFS ルート用に二重暗号化を構成する」と「ワークスペース ストレージ アカウントのファイアウォール サポートを有効にする」を参照してください。
重要
2024 年 11 月 1 日以降に作成された AI/BI ダッシュボードのみが暗号化され、カスタマー マネージド キーと互換性があります。
2025 年 4 月 10 日以降に作成された AI/BI Genie スペースのみが暗号化され、カスタマー マネージド キーと互換性があります。
サーバーレス コンピューティングとカスタマー マネージド キー
Databricks SQL サーバーレスは、次をサポートします。
Databricks SQL のクエリとクエリ履歴のためのマネージド サービスのカスタマー マネージド キー。
Databricks SQL の結果のDBFS ルート ストレージのカスタマー マネージド キー。
マネージド ディスク ストレージ用のカスタマー マネージド キーは、サーバーレス コンピューティング リソースには適用されません。 サーバーレス コンピューティング リソース用のディスクは有効期間が短く、サーバーレス ワークロードのライフサイクルに関連付けられています。 コンピューティング リソースが停止またはスケールダウンされると、VM とそのストレージは破棄されます。
Model Serving
サーバーレス コンピューティング機能である Model Serving のリソースは、通常、次の 2 つのカテゴリに分類されます。
- モデル用に作成したリソースは、ワークスペースのルート ストレージに格納されます。 これには、モデルの成果物とバージョンメタデータが含まれます。 ワークスペース モデル レジストリと MLflow の両方で、このストレージが使用されます。 このストレージは、カスタマー マネージド キーを使用するように構成できます。
- Azure Databricks がユーザーに代わって直接作成するリソースには、モデル イメージとエフェメラル サーバーレス コンピューティング ストレージが含まれます。 これらは Databricks マネージド キーで暗号化されます。カスタマー マネージド キーはサポートされていません。