Azure マネージド ディスク用の HSM カスタマー マネージド キーの構成
コンピューティング プレーン内の Azure Databricks コンピューティング ワークロードは、Azure マネージド ディスクに一時データを保存します。 既定では、マネージド ディスクの格納データは、Microsoft のマネージド キーでサーバー側暗号化を使用して保存時に暗号化されます。 この記事では、マネージド ディスクの暗号化に使用する Azure Databricks ワークスペース用の Azure Key Vault HSM からカスタマー マネージド キーを構成する方法について説明します。 Azure Key Vault コンテナーからのキーの使用手順については、「Azure マネージド ディスクのカスタマー マネージド キーを構成する」を参照してください。
重要
- マネージド ディスク ストレージのカスタマー マネージド キーはデータ ディスクに適用されますが、オペレーティング システム (OS) ディスクには適用 "されません"。
- マネージド ディスク ストレージのカスタマー マネージド キーは、サーバーレス SQL ウェアハウスやモデルの提供などのサーバーレス コンピューティング リソースには適用 "されません"。 サーバーレス コンピューティング リソースに使用されるディスクは有効期間が短く、サーバーレス ワークロードのライフサイクルに関連付けられています。 コンピューティング リソースが停止またはスケールダウンされると、VM とそのストレージは破棄されます。
必要条件
Azure Databricks ワークスペースは Premium プランである必要があります。
自動ローテーションを有効にする場合は、2048 ビット、3072 ビット、4096 ビットのサイズの RSA-HSM キーのみがサポートされます。
FedRAMP 準拠のワークスペースでは、この機能はサポートされていません。 詳細については、Azure Databricks アカウント チームにお問い合わせください。
これらのタスクに Azure CLI を使用するには、Azure CLI ツールをインストールし、Databricks 拡張機能をインストールします。
az extension add --name databricks
これらのタスクに Powershell を使用するには、Azure PowerShellをインストールし、Databricks Powershell モジュールをインストールします。 また、ログインが必要です。
Connect-AzAccount
ユーザーとして Azure アカウントにログインするには、「Azure Databricks ユーザー アカウントで PowerShell にログインする」を参照してください。 Azure アカウントにサービス プリンシパルとしてログインするには、「Microsoft Entra ID サービス プリンシパルを使った PowerShell ログイン」を参照してください。
手順 1: Azure Key Vault Managed HSM と HSM キーを作成する
既存の Azure Key Vault Managed HSM を使用することも、Managed HSM ドキュメントのクイックスタートに従って新しい Azure を作成してアクティブ化することもできます。 「クイック スタート: Azure CLI を使用して Managed HSM をプロビジョニングしてアクティブにする」を参照してください。 Azure Key Vault Managed HSM では、消去保護が有効になっている必要があります。
HSM キーを作成するには、「HSM キーを作成する」に従ってください。
手順 2: すべてのコンピューティング リソースを停止する
ワークスペース内のすべてのコンピューティング リソース (クラスター、プール、および SQL ウェアハウス) を終了します。
手順 3: ワークスペースを作成または更新する
Azure portal、Azure CLI、または Azure PowerShell を使用して、マネージド ディスクのカスタマー マネージド キーを使用してワークスペースを作成または更新できます。
Azure portal を使用する
このセクションでは、Azure portal を使用して、マネージド ディスク用のカスタマー マネージド キーでワークスペースを作成または更新する方法について説明します。
ワークスペースを作成または更新します。
キーを使用して新しいワークスペースを作成します。
- Azure Portal のホームページに移動し、ページの左上隅にある [リソースの作成] をクリックします。
- 検索バーに「
Azure Databricks
」と入力し、[Azure Databricks] をクリックします。 - Azure Databricks ウィジェット内から [作成] を選択します。
- [基本] タブと [ネットワーク] タブのフォーム フィールドに値を入力します。
- [暗号化] タブの [マネージド ディスク] セクションで [独自のキーを使用する] チェック ボックスをオンにします。
最初に、既存のワークスペースにキーを追加します。
- Azure Databricks の Azure portal のホーム ページに移動します。
- 既存の Azure Databricks ワークスペースに移動します。
- 左側のパネルから [暗号化] タブを開きます。
- [カスタマー マネージド キー] セクションで [マネージド ディスク] を有効にします。
暗号化フィールドを設定します。
- [キー識別子] フィールドに、Managed HSM キーのキー識別子を貼り付けます。
- [サブスクリプション] ドロップダウンに、Managed HSM キーのサブスクリプション名を入力します。
- キーの自動ローテーションを有効にするには、[キーの自動ローテーションを有効にする] を有効にします。
残りのタブに入力し、[確認および作成] (新しいワークスペースの場合) または [保存] (ワークスペースを更新する場合) をクリックします。
ワークスペースが展開されたら、新しい Azure Databricks ワークスペースに移動します。
Azure Databricks ワークスペースの [概要] タブで、[管理対象リソース グループ] をクリックします。
管理対象リソース グループの [概要] タブで、このリソース グループに作成された [ディスク暗号化セット] という種類のオブジェクトを探します。 そのディスク暗号化セットの名前をコピーします。
Azure CLI を使用する
新規および更新されたワークスペースのどちらの場合も、以下のパラメーターをコマンドに追加します。
disk-key-name
: Managed HSM 名disk-key-vault
: Managed HSM URIdisk-key-version
: Managed HSM のバージョン。latest
ではなく、特定のキー バージョンを使用します。disk-key-auto-rotation
: キーの自動ローテーションの有効化 (true
またはfalse
)。 このフィールドはオプションです。 既定値は、false
です。
ワークスペースを作成または更新します。
これらのマネージド ディスク パラメーターを使用してワークスペースを作成する例:
az databricks workspace create --name <workspace-name> \ --resource-group <resource-group-name> \ --location <location> \ --sku premium --disk-key-name <hsm-name> \ --disk-key-vault <hsm-uri> \ --disk-key-version <hsm-version> \ --disk-key-auto-rotation <true-or-false>
これらのマネージド ディスク パラメーターを使用してワークスペースを更新する例:
az databricks workspace update \ --name <workspace-name> \ --resource-group <resource-group-name> \ --disk-key-name <hsm-name> \ --disk-key-vault <hsm-uri> \ --disk-key-version <hsm-version> \ --disk-key-auto-rotation <true-or-false>
これらのどちらのコマンドの出力にも、
managedDiskIdentity
オブジェクトがあります。 このオブジェクト内のprincipalId
プロパティの値を保存します。 これは、後の手順でプリンシパル ID として使用されます。
PowerShell を使用する
新規および更新されたワークスペースのどちらの場合も、以下のパラメーターをコマンドに追加します。
location
: ワークスペースの場所ManagedDiskKeyVaultPropertiesKeyName
: Managed HSM 名ManagedDiskKeyVaultPropertiesKeyVaultUri
: Managed HSM URIManagedDiskKeyVaultPropertiesKeyVersion
: Managed HSM のバージョン。latest
ではなく、特定のキー バージョンを使用します。ManagedDiskRotationToLatestKeyVersionEnabled
: キーの自動ローテーションの有効化 (true
またはfalse
)。 このフィールドはオプションです。 既定値は false です。
- ワークスペースを作成または更新します。
マネージド ディスク パラメーターを使用してワークスペースを作成する例:
$workspace = New-AzDatabricksWorkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -location <location> \ -Sku premium \ -ManagedDiskKeyVaultPropertiesKeyName <key-name> \ -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \ -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
マネージド ディスク パラメーターを使用してワークスペースを更新する例:
$workspace = Update-AzDatabricksworkspace -Name <workspace-name> \ -ResourceGroupName <resource-group-name> \ -ManagedDiskKeyVaultPropertiesKeyName <key-name> \ -ManagedDiskKeyVaultPropertiesKeyVaultUri <hsm-uri> \ -ManagedDiskKeyVaultPropertiesKeyVersion <key-version> -ManagedDiskRotationToLatestKeyVersionEnabled
手順 4: Managed HSM ロールの割り当てを構成する
Azure Databricks ワークスペースからアクセスできるように、Key Vault Managed HSM 向けのロールの割り当てを構成します。 ロールの割り当ては、Azure portal、Azure CLI、または PowerShell を使用して構成できます。
Azure portal を使用する
- Azure portal で、Managed HSM リソースに移動します。
- 左側のメニューの [設定] で、[ローカル RBAC] を選びます。
- 追加をクリックします。
- [ロール] フィールドで、[Managed HSM 暗号化サービスの暗号化ユーザー] を選択します。
- [スコープ] フィールドで、
All keys (/)
を選択します。 - [セキュリティ プリンシパル] フィールドの検索バーに、Azure Databricks ワークスペースの管理対象リソース グループ内にあるディスク暗号化セット名を入力します。 結果を選択します。
- Create をクリックしてください。
Azure CLI の使用
Managed HSM ロールの割り当てを構成します。 <hsm-name>
をマネージド HSM 名に置き換え、<principal-id>
を前の手順の managedDiskIdentity
の principalId ID に置き換えます。
az keyvault role assignment create --role "Managed HSM Crypto Service Encryption User"
--scope "/" --hsm-name <hsm-name>
--assignee-object-id <principal-id>
Azure PowerShell の使用
<hsm-name>
をマネージド HSM 名に置き換えます。
New-AzKeyVaultRoleAssignment -HsmName <hsm-name> \
-RoleDefinitionName "Managed HSM Crypto Service Encryption User" \
-ObjectId $workspace.ManagedDiskIdentityPrincipalId
手順 5: 以前に終了したコンピューティング リソースを開始する
- ワークスペースの更新が完了していることを確認してください。 テンプレートに対する変更がキーのみである場合、通常、これは 5 分以内に完了します。それ以外の場合は、さらに時間がかかる可能性があります。
- 以前に終了したコンピューティング リソースをすべて手動で開始します。
通常、コンピューティング リソースの開始に失敗する原因は、Key Vault にアクセスするためのアクセス許可をディスク暗号化セットに付与する必要があるためです。
後でキーをロテーションする
既にキーが含まれている既存のワークスペースには、次の 2 種類のキーローテーションがあります。
- 自動ローテーション: ワークスペースの
rotationToLatestKeyVersionEnabled
がtrue
の場合、ディスク暗号化セットはキー バージョンの変更を検出し、最新のキー バージョンを指します。 - 手動ローテーション: 既存のマネージド ディスクのカスタマー マネージド キー ワークスペースを新しいキーで更新できます。 最初に既存のワークスペースにキーを追加した場合と同様に、上記の手順に従います。