マネージド サービス用のカスタマー マネージド キー

Note

この機能を使用するには、Premium プランが必要です。

データをさらに制御するために、独自のキーを追加して、一部のデータの型へのアクセスを保護および制御できます。 Azure Databricks には、さまざまな種類のデータと場所に対するカスタマー マネージド キーの機能が 3 つあります。 それらを比較するには、「暗号化用のカスタマー マネージド キー」を参照してください。

Azure Databricks コントロール プレーン内の管理サービス データは、保存時に暗号化されます。 次の種類の暗号化されたデータへのアクセスを保護および制御するために、管理サービスのカスタマー マネージド キーを追加できます。

• Azure Databricks コントロール プレーンのノートブック ソース
• ノートブックのノートブック結果は、コントロール プレーンに格納されている (ジョブとしてではなく) 対話形式で実行されます。 既定では、より大きな結果がワークスペースのルート バケットにも格納されます。 すべての対話型ノートブックの結果をクラウド アカウントに格納するように Azure Databricks を構成できます。
• シークレット マネージャー API によって格納されるシークレット。
• Databricks SQL クエリとクエリ履歴。
• Databricks Git フォルダーによる Git 統合の設定のために使用される個人用アクセス トークン (PAT) またはその他の資格情報。

ワークスペースにマネージド サービス暗号化用のカスタマー マネージド キーを追加すると、Azure Databricks はそのキーを使用して、ワークスペースのマネージド サービス データへの今後の書き込み操作を暗号化するキーへのアクセスを制御します。 既存のデータは再暗号化されません。 データ暗号化キーは、いくつかの読み取りおよび書き込み操作のためにメモリにキャッシュされ、一定の間隔でメモリから削除されます。 そのデータに対する新しい要求には、クラウド サービスのキー管理システムに対する別の要求が必要です。 キーを削除するか取り消すと、保護されたデータの読み取りまたは書き込みは、キャッシュ時間間隔の終了時に失敗します。 後でカスタマー マネージド キーをローテーション (更新) できます。

重要

キーをローテーションした場合、古いキーを 24 時間使用可能な状態にしておく必要があります。

この機能では、コントロール プレーンの外部の格納データは暗号化されません。 ワークスペースの DBFS ルート ストレージ内のデータを暗号化するには、「DBFS ルート用のカスタマー マネージド キー」を参照してください。

Azure Key Vault コンテナーまたは Azure Key Vault HSM を使用して、カスタマー マネージド キーを有効にすることができます。

• 管理サービス用にカスタマー マネージド キーを有効にする
• 管理サービス用に HSM カスタマー マネージド キーを有効にする