DBFS ルート用のカスタマー マネージド キー
Note
この機能は、Premium プランでのみ使用できます。
データをさらに制御するために、独自のキーを追加して、一部のデータの型へのアクセスを保護および制御できます。 Azure Databricks には、さまざまな種類のデータと場所を含むカスタマー マネージド キーの機能が 2 つあります。 比較については、「暗号化用のカスタマー マネージド キー」を参照してください。
既定では、ストレージ アカウントは Microsoft マネージド キーを使用して暗号化されます。 DBFS ルートにカスタマー マネージド キーを追加すると、Azure Databricks ではキーを使用して、ワークスペースのルート Blob Storage 内のデータがすべて暗号化されます。
- ワークスペース ストレージ アカウントには、ワークスペースの DBFS ルートが含まれています。これは、DBFS の既定の位置です。 Databricks ファイル システム (DBFS) は、Azure Databricks ワークスペースにマウントされ、Azure Databricks クラスター上で使用できる分散ファイル システムです。 DBFS は、Azure Databricks ワークスペースのマネージド リソース グループの BLOB ストレージとして実装されます。 ワークスペース ストレージ アカウントには、DBFS ルートの MLflow Models と Delta Live Table のデータが含まれています (ただし、DBFS マウントの場合は除く)。
- ワークスペース ストレージ アカウントには、(DBFS パスを使用して直接アクセスできない) ワークスペースのシステム データも含まれています。ここには、ジョブの結果、Databricks SQL の結果、ノートブックのリビジョン、その他のワークスペース データが含まれています。
重要
この機能は DBFS ルート に影響しますが、追加の BLOB または ADLS ストレージの DBFS マウントなど、追加の DBFS マウント上のデータの暗号化には使用されません。 マウントはレガシ アクセス パターンです。 Databricks では、すべてのデータ アクセスを管理するために Unity Catalog を使用することをお勧めします。 Unity カタログを使用したクラウド オブジェクト ストレージとサービスへの接続を参照してください。
カスタマー マネージド キーを格納するには、Azure Key Vault を使用する必要があります。 キーは、Azure Key Vault コンテナーまたは Azure Key Vault マネージド ハードウェア セキュリティ モジュール (HSM) に格納できます。 Azure Key Vault コンテナーと HSM の詳細については、「Key Vault キーについて」を参照してください。 Azure Key Vault コンテナーと Azure Key Vault HSM を使用する手順は複数あります。
Key Vault は、Azure Databricks ワークスペースと同じ Azure テナント内にある必要があります。
次の 3 つの方法で、ワークスペース ストレージ アカウント用の Azure Key Vault コンテナーを使用してカスタマー マネージド キーを有効化できます。
- Azure portal を使用して DBFS 用のカスタマー マネージド キーを構成する
- Azure CLI を使用して DBFS 用のカスタマー マネージド キーを構成する
- PowerShell を使用して DBFS 用のカスタマー マネージド キーを構成する
次の 3 つの方法で、ワークスペース ストレージ アカウント用の Azure Key Vault HSM を使用してカスタマー マネージド キーを有効化することもできます。