グループの管理
この記事では、管理者が Databricks グループを作成および管理する方法について説明します。 Databricks ID モデルの概要については、 「Databricks ID」を参照してください。
グループのアクセスを管理するには、 「認証とアクセス制御」を参照してください。
グループ管理の概要
グループは、ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのアクセスの割り当てを容易にすることで、アイデンティティ管理を簡素化します。すべてのDatabricksアイデンティティをグループのメンバーとして割り当てることができます。
Databricks のグループの種類
Databricks には 4 種類のグループがあり、ソースに基づいて分類されています。
アカウント グループには、 Unity Catalogメタストア内のデータへのアクセス権、サービス プリンシパルおよびグループに対するロール、およびフェデレーション ワークスペースを識別するための権限を付与できます。
ワークスペース-local グループは 、作成されたワークスペースのコンテキストでのみ使用できるレガシ グループです。 これらのグループを他のワークスペースに割り当てたり、Unity Catalog メタストア内のデータへのアクセスを許可したり、アカウント レベルのロールを付与したりすることはできません。 Databricks では、既存のワークスペース ローカル グループをアカウント グループに変換することをお勧めします。 ワークスペース-local グループの詳細については、「 ワークスペース-local グループ (legacy) の管理」を参照してください。
外部グループは 、ID プロバイダーから Databricks で作成されるグループです。 これらのグループは、SCIM プロビジョニング コネクタを使用して作成され、ID プロバイダーと同期された状態が維持されます。 デフォルトでは、外部グループのメンバーシップは、 Databricks アカウントコンソールまたはワークスペース管理設定ページから更新することはできません。 外部グループはアカウントグループです。
注:
Databricks UI から外部グループ メンバーシップを更新するには、アカウント管理者がアカウント コンソールのプレビュー ページで Immutable external グループ プレビューを無効にすることができます。
システム グループは 、Databricks によって作成および保守されます。 各アカウントには、すべてのユーザーを含む
account users
というアカウント システム グループがあります。 各ワークスペースには、users
とadmins
の 2 つのワークスペース レベルのシステム グループがあります。 ワークスペースのすべてのメンバーはusers
グループに属し、ワークスペース管理者もadmins
グループのメンバーです。 システムグループは削除できません。
アカウントグループを管理できるのは誰ですか?
Databricksでアカウントグループを作成するには、アカウント管理者またはワークスペース管理者である必要があります。ワークスペース管理者がアカウントグループを作成するには、IDフェデレーションワークスペースに属している必要があります。
Databricksでアカウント グループを管理するには、グループに対するグループ マネージャーロール (パブリック プレビュー) が必要です。 グループ マネージャーは、グループ メンバーシップを管理し、グループを削除できます。 他のユーザーにグループ マネージャーの役割を割り当てることもできます。 アカウント管理者はアカウント コンソールを使用してグループ ロールを管理でき、ワークスペース管理者はワークスペース管理者設定ページを使用してグループ ロールを管理できます。 ワークスペース管理者ではないグループ マネージャーは、アカウント アクセス コントロールAPIを使用してグループ ロールを管理できます。
アカウント管理者はアカウントレベルのグループ管理者ロールを持ちます。これは、アカウント内の全てのグループのグループ管理者ロールを持つことを意味します。ワークスペース管理者は、作成したアカウントグループに対しグループマネージャーのロールを持ちます。
ワークスペース管理者は、ワークスペースローカルグループを作成・管理することもできます。
IDプロバイダーからグループをDatabricksアカウントに同期する
SCIM プロビジョニング コネクタを使用して、ID プロバイダー (IdP) から Databricks アカウントにグループを同期できます。 手順については、「 ユーザーとグループを Databricks アカウントに同期する」を参照してください。
重要
ID をワークスペースに直接同期する SCIM コネクタが既にある場合は、アカウント レベルの SCIM コネクタが有効になっているときに、それらの SCIM コネクタを無効にする必要があります。 「ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。
アカウントコンソールを使用してアカウントグループを管理する
アカウント管理者はDatabricks 、アカウント コンソールを 使用して、 アカウントにグループを追加および管理できます。ワークスペース管理者とグループ マネージャーは、ワークスペース設定ページとDatabricks APIsを使用してグループを管理できます。 「ワークスペース管理設定ページを使用してアカウント グループを管理する」および「API を使用してアカウント グループを管理する」を参照してください。
アカウントコンソールを使用してグループをアカウントに追加する
アカウントコンソールを使用してアカウントにグループを追加するには、次の手順を実行します。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ユーザー管理] をクリックします。
[グループ] タブで、[グループの追加] をクリックします。
グループの名前を入力します。
[確認]をクリックします。
プロンプトが表示されたら、ユーザー、サービスプリンシパル、およびグループをグループに追加します。
アカウントコンソールを使用してグループにメンバーを追加する
外部グループを ID プロバイダと同期させるために、デフォルトではアカウントコンソールで外部グループのメンバーシップを管理することはできません。 アカウントコンソールを使用して、ユーザー、サービスプリンシパル、およびグループをグループに追加するには、次の操作を行います。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ユーザー管理] をクリックします。
[グループ] タブで、更新するグループを選択します。
[メンバーを追加]をクリックします。
追加したいユーザー、グループ、サービスプリンシパルを検索し、選択します。
[追加] をクリックします。
アカウントからグループを更新してから、ワークスペースでグループが更新されるまでに数分の遅延が発生します。
アカウントコンソールを使用してグループのロールを管理する
プレビュー
この機能はパブリックプレビュー段階です。
アカウント管理者は、アカウントコンソールでアカウントグループにロールを付与できます。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ユーザー管理] をクリックします。
[グループ]タブで、グループ名を見つけてクリックします。
「権限」タブをクリックします。
[アクセス権を付与] をクリックします。
ユーザー、サービスプリンシパル、またはグループを検索して選択し、グループ:マネージャーロールを選択します。
[保存]をクリックします。
グループ名を変更する
外部グループを ID プロバイダーと同期させるために、デフォルトではアカウントコンソールで外部グループの名前を更新することはできません。 アカウント 管理者は、アカウント コンソールを使用してアカウント グループの名前を更新できます。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ユーザー管理] をクリックします。
[グループ] タブで、更新するグループを選択します。
[グループ情報]をクリックします。
[名前]で名前を更新します。
[保存]をクリックします。
グループ管理者は、アカウント コンソールを使用してグループの名前を変更することはできません。 代わりに、アカウント グループ API を使用してください。 例えば:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
アカウント グループ APIに対する認証方法については、「Databricks リソースへのアクセスを認証する」を参照してください。
アカウントコンソールを使用してグループをワークスペースに割り当てる
アカウント コンソールを使用してワークスペースにグループを追加するには、ワークスペースでID フェデレーションが有効になっている必要があります。 ワークスペースに割り当てることができるのはアカウント グループのみです。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ワークスペース] をクリックします。
ワークスペース名をクリックします。
[権限] タブで、[権限を追加] をクリックします。
グループを検索して選択し、権限レベル(ワークスペースユーザーまたは管理者)を割り当て、[保存]をクリックします。
アカウントコンソールを使用してワークスペースからグループを削除する
アカウント コンソールを使用してワークスペースからグループを削除するには、ワークスペースでID フェデレーションが有効になっている必要があります。 アカウント コンソールを使用してワークスペースから削除できるのは、アカウント グループのみです。
アカウント グループがワークスペースから削除されると、グループ メンバーはワークスペースにアクセスできなくなりますが、グループの権限は維持されます。 グループが後でワークスペースに再度追加された場合、グループは以前の権限を回復します。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ワークスペース] をクリックします。
ワークスペース名をクリックします。
[権限]タブでグループを見つけます。
クリックグループ行の右端にあるケバブ メニューをクリックし、 [削除]を選択します。
確認ダイアログで、[削除の確認]をクリックします。
アカウント管理者ロールをグループに割り当てる
アカウント コンソールを使用して、アカウント管理者またはMarketplace管理者のロールをグループに割り当てることはできませんが、アカウント グループAPIを使用してグループに割り当てることはできます。 例えば:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
アカウント グループ APIに対する認証方法については、「Databricks リソースへのアクセスを認証する」を参照してください。
Databricksアカウントからグループを削除する
アカウント管理者は、 Databricksアカウントからグループを削除できます。 グループ マネージャーは、アカウント グループAPIを使用してアカウントからグループを削除することもできます。API API使用してアカウント グループを管理するを参照してください。
重要
グループを削除すると、そのグループに所属するすべてのユーザーがアカウントから削除され、それまでアクセスできていたワークスペースへのアクセス権を失います(別のグループのメンバーであるか、アカウントまたはワークスペースへのアクセス権が直接付与されている場合を除く)。アカウント内のすべてのワークスペースにアクセスできなくする場合を除き、サービスプリンシパルのアカウントレベルの削除は避けることを推奨します。ユーザーを削除すると次のような影響が生じることに注意してください。
このユーザーによって生成されたトークンを使うアプリケーションまたはスクリプトはDatabricks APIにアクセスできなくなります。
ユーザーが所有するジョブは失敗になります。
ユーザーが所有するクラスターが停止します。
このユーザーによって作成された、[所有者として実行] 資格情報を使用して共有されているクエリーまたはダッシュボードは、共有が失敗しないように新しい所有者に割り当てる必要があります。
アカウントコンソールを使ってグループを削除するには、次の手順を実行します。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ユーザー管理] をクリックします。
[グループ] タブで、削除するグループを選択します。
ユーザー行の右端にあるケバブメニューをクリックし、[削除]を選択します。
確認ダイアログボックスで、[削除を確認] をクリックします。
アカウントコンソールを使用してグループを削除する場合は、そのアカウントに設定されているSCIMプロビジョニングコネクタまたはSCIM APIアプリケーションを使用してグループも削除する必要があります。これを行わない場合、SCIMプロビジョニングは次回の同期時にグループとそのメンバーを追加し直します。「IDプロバイダーからユーザーとグループを同期する」を参照してください。
Databricksを使用して アカウントからグループを削除するには、API ユーザーとグループをDatabricks アカウント および アカウント グループAPI に同期するを参照してください。
ワークスペース管理者設定ページを使用してアカウントグループを管理する
ワークスペース管理者は、ワークスペース管理設定ページを使用して、IDフェデレーションワークスペースでアカウントグループを作成および管理できます。
注:
ワークスペースからアカウント グループを更新してから、アカウント内でグループが更新されるまでに数分の遅延が発生します。
ワークスペースでワークスペース-local グループを作成する方法については、 「ワークスペース-local グループ (レガシー) の管理」を参照してください。
ワークスペース管理設定ページを使用して、グループを作成するかワークスペースに割り当てる
ワークスペース管理者設定ページを使用してワークスペースにアカウントグループを割り当てる、または作成するには、次の手順を実行します。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[IDとアクセス]タブをクリックします。
[グループ]の横にある[管理] をクリックします。
[グループを追加]をクリックします。
ワークスペースに割り当てる既存のグループを選択するか、 [新規追加]をクリックして新しいアカウント グループを作成します。
注:
ワークスペースでID フェデレーションが有効になっていない場合、既存のアカウント グループを割り当てたり、ワークスペースにアカウント グループを追加したり作成したりすることはできません。 代わりにワークスペース ローカル グループを使用する必要があります。 「ワークスペース ローカル グループの管理 (レガシー)」を参照してください。
ワークスペース管理者設定ページを使用してグループにメンバーを追加する
ワークスペース管理者設定ページを使用して、ユーザー、サービスプリンシパル、およびグループをアカウント グループに追加するには、ワークスペース管理者である必要があります。 管理できるのは、グループマネージャーの役割を持つグループのメンバーのみです。 外部グループを ID プロバイダーと同期させるために、デフォルトではワークスペース管理者設定ページで外部グループのメンバーシップを管理することはできません。
注:
admins
グループに子グループを追加することはできません。 ワークスペース ローカル グループまたはシステム グループをアカウント グループのメンバーとして追加することはできません。
ワークスペース管理者ではないグループ マネージャーは、アカウントグループAPIを使用してグループ メンバーシップを管理する必要があります。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[IDとアクセス]タブをクリックします。
[グループ]の横にある[管理] をクリックします。
更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。
[メンバー]タブで、 [メンバーの追加]をクリックします。
ダイアログで、追加したいユーザー、サービスプリンシパル、グループを参照または検索し、選択します。
[確認]をクリックします。
ワークスペース管理者設定ページを使用してアカウントグループのロールを管理する
プレビュー
この機能はパブリックプレビュー段階です。
ユーザ、アカウントグループ、サービスプリンシパルにグループマネージャーロールを割り当てることができます。グループマネージャーはグループのメンバーシップを管理できます。また、グループマネージャーロールを他のユーザーに割り当てることもできます。
ワークスペース管理者の設定ページを使用してグループのロールを管理するには、ワークスペース管理者である必要があります。ワークスペース管理者ではないグループマネージャーは、 アカウントアクセスコントロールAPIを使用してグループのロールを管理できます。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[IDとアクセス]タブをクリックします。
[グループ]の横にある[管理] をクリックします。
更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。
「権限」タブをクリックします。
[アクセス権を付与] をクリックします。
ユーザー、サービスプリンシパル、またはグループを検索して選択し、グループ:マネージャーロールを選択します。
注:
アカウント グループにワークスペース ローカル グループまたはシステム グループのロールを割り当てることはできません。
[保存]をクリックします。
親グループを表示する
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[IDとアクセス]タブをクリックします。
[グループ]の横にある[管理] をクリックします。
表示するグループを選択します。
[親グループ]タブで、グループの親グループを表示します。
ワークスペース管理者設定ページを使用してワークスペースからグループを削除する
ワークスペースからグループを削除しても、アカウント内のグループは削除されません。 グループがワークスペースから削除されると、グループのメンバーはワークスペースにアクセスできなくなりますが、グループの権限は維持されます。 グループが後でワークスペースに再度追加されると、グループは以前の権限を回復します。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[IDとアクセス]タブをクリックします。
[グループ]の横にある[管理] をクリックします。
グループを選択し、 x削除をクリックします
[削除] をクリックして確定します。
APIを使用してアカウントグループを管理する
アカウント管理者、ワークスペース管理者、およびグループマネージャーは、アカウントグループAPIを使用して、Databricksアカウント内のグループを追加、削除、管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります:
アカウント管理者は
{account-domain}/api/2.1/accounts/{account_id}/scim/v2/
を使用します。ワークスペース管理者とグループマネージャーは
{workspace-domain}/api/2.0/account/scim/v2/
を使用します。
詳細については、アカウント グループ APIを参照してください。
APIを使用してグループをワークスペースに割り当てる
アカウント管理者とワークスペース管理者は、ワークスペース割り当てAPIを使用して、IDフェデレーションが有効になっているワークスペースにグループを割り当てることができます。ワークスペース割り当てAPIは、Databricksアカウントとワークスペースを介してサポートされます。
アカウント管理者は
{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
を使用します。ワークスペース管理者は
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}
を使用します。
「ワークスペース割り当てAPI」を参照してください。
APIを使用してグループのロールを管理する
プレビュー
この機能はパブリックプレビュー段階です。
グループ管理者は、アカウントアクセスコントロールAPIを使用してグループのロールを管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります。
アカウント管理者は
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
を使用します。ワークスペース管理者とグループマネージャーは
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles
を使用します。
アカウントアクセスコントロールAPI、およびアカウントアクセスコントロールワークスペースプロキシAPI を参照してください。