顧客管理のキーを使用するマネージドサービス
注
この機能を使用するには、Premium プランが必要です。
データをさらに制御するために、独自のキーを追加して、一部の種類のデータへのアクセスを保護および制御できます。 Azure Databricks には、さまざまな種類のデータと場所に対する 3 つのカスタマー マネージド キー機能があります。 それらを比較するには、暗号化 カスタマー マネージド キーを参照してください。
Azure Databricks コントロール プレーン のマネージド サービス データは、保存時に暗号化されます。 マネージド サービス用の顧客管理キーを追加して、保護 を支援し、次の種類の暗号化されたデータへのアクセスを制御できます。
- Azure Databricks コントロール プレーンのノートブック ソース
- ノートブックのノートブック結果は、コントロール プレーンに格納されている (ジョブとしてではなく) 対話形式で実行されます。 既定では、より大きな結果もワークスペースのルート バケットに格納されます。 すべての対話型ノートブックの結果をクラウド アカウント に格納するように Azure Databricks を構成できます。
- シークレット マネージャー API によって格納されるシークレット。
- Databricks SQL クエリとクエリ履歴。
- Databricks Git フォルダーによる Git 統合の設定のために使用される個人用アクセス トークン (PAT) またはその他の資格情報。
ワークスペースのマネージド サービス暗号化用にカスタマー マネージド キーを追加すると、Azure Databricks はキーを使用して、ワークスペースのマネージド サービス データに対する将来の書き込み操作を暗号化するキーへのアクセスを制御します。 既存のデータは再暗号化されません。 データ暗号化キーは、いくつかの読み取りおよび書き込み操作のためにメモリにキャッシュされ、一定の間隔でメモリから削除されます。 そのデータに対する新しい要求には、クラウド サービスのキー管理システムに対する別の要求が必要です。 キーを削除または取り消すと、保護されたデータの読み取りまたは書き込みは、キャッシュの時間間隔の終了時に失敗します。 カスタマー マネージド キーは後でローテーション (更新) できます。
重要
キーをローテーションする場合は、古いキーを 24 時間使用できる状態にしておく必要があります。
この機能では、コントロール プレーンの外部に格納されたデータは暗号化されません。 ワークスペース ストレージ アカウントのデータを暗号化するには、DBFS ルート カスタマー マネージド キーを参照してください。
Azure Key Vault コンテナーまたは Azure Key Vault HSM を使用して、カスタマー マネージド キーを有効にすることができます。