ユーザーを管理する
この記事では、Databricksユーザーを追加、更新、削除する方法について説明します。
Databricks ID モデルの概要については、「 Databricks ID」を参照してください。
ユーザーのアクセスを管理するには、「 認証とアクセス制御」を参照してください。
ユーザー管理の概要
Databricksでユーザーを管理するには、アカウント管理者またはワークスペース管理者のいずれかである必要があります。
アカウント管理者は、ユーザーをアカウント に追加し、管理者ロールを割り当てることができます。また、ユーザーをワークスペースに割り当て、それらのワークスペースが ID フェデレーションを使用している限り、ワークスペース間でユーザーのデータ アクセスを構成することもできます。
ワークスペース管理者は 、Databricks ワークスペースにユーザーを追加し、ワークスペース管理者ロールを割り当て、ワークスペース内のオブジェクトと機能へのアクセス (クラスターの作成や指定されたペルソナベースの環境へのアクセスなど) へのアクセスを管理できます。 Databricks ワークスペースにユーザーを追加すると、そのユーザーもアカウントに追加されます。
ワークスペース管理者は、ワークスペース内の
admins
グループのメンバーであり、削除できない予約済みグループです。
重要
アカウントが 2024 年 3 月 6 日以降に作成された場合、ID フェデレーションはすべての新しいワークスペースでデフォルトで有効になり、無効にすることはできません。
IDプロバイダーからユーザーをDatabricksアカウントに同期する
アカウント管理者は、SCIMプロビジョニングコネクターを使用すると、IDプロバイダー(IdP)のユーザーをDatabricksのアカウントと同期できます。
重要
ID をワークスペースに直接同期する SCIM コネクタが既にある場合は、アカウント レベルの SCIM コネクタが有効になっているときに、それらの SCIM コネクタを無効にする必要があります。 「 ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。
手順については、「 Databricks アカウントに ID をプロビジョニングする」を参照してください。
アカウント内のユーザーを管理する
アカウント管理者は、 アカウント コンソールを使用して Databricks アカウントにユーザーを追加できます。 Databricks アカウントのユーザーには、ワークスペース、データ、またはコンピュート リソースへの既定のアクセス権がありません。
アカウントコンソールを使用してアカウントにユーザーを追加する
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ユーザー管理]をクリックします。
[ユーザー]タブで、[ユーザーの追加]をクリックします。
ユーザーの名前とメールアドレスを入力します。
[ユーザーを追加]をクリックします。
注:
ユーザーは50を超えるDatabricksアカウントに所属することはできません。
ユーザーにワークスペースへのアクセス権を付与するには、ユーザーをワークスペースに追加する必要があります。 「 ワークスペース内のユーザーの管理」を参照してください。
アカウント管理者のロールをユーザーに割り当てる
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ユーザー管理]をクリックします。
ユーザー名を見つけてクリックします。
[ロール] タブで、[Marketplace管理者] または [アカウント管理者] をオンにします。
アカウントコンソールを使用してユーザーをワークスペースに割り当てる
アカウントコンソールを使用してワークスペースにユーザーを追加するには、ワークスペースで ID フェデレーションを有効にする必要があります。 ワークスペース管理者は、ワークスペース管理者設定ページを使用してユーザーをワークスペースに割り当てることもできます。 「 ワークスペース管理設定ページを使用したワークスペースへのユーザーの割り当て」を参照してください。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ワークスペース]をクリックします。
ワークスペース名をクリックします。
[権限]タブで、[権限を追加]をクリックします。
ユーザーを検索して選択し、権限レベル(ワークスペースユーザーまたは管理者)を割り当て、[保存]をクリックします。
アカウントコンソールを使用してワークスペースからユーザーを削除する
アカウントコンソールを使用してワークスペースからユーザーを削除するには、ワークスペースで ID フェデレーションを有効にする必要があります。 ユーザーがワークスペースから削除されると、ユーザーはワークスペースにアクセスできなくなりますが、ユーザーに対するアクセス許可は維持されます。 ユーザーが後でワークスペースに再度追加されると、以前のアクセス許可が回復します。
アカウント管理者として、アカウントコンソールにログインします
サイドバーで、[ワークスペース]をクリックします。
ワークスペース名をクリックします。
[権限]タブでユーザーを見つけます。
ユーザー行の右端にあるケバブ メニューをクリックし 、[削除] を選択します。
確認ダイアログで、[削除の確認]をクリックします。
Databricksアカウントのユーザーを非アクティブ化する
アカウント管理者は、Databricksアカウント全体でユーザーを非アクティブ化できます。非アクティブ化されたユーザーは、Databricksアカウントまたはワークスペースにログインできません。ただし、ユーザーの権限とワークスペースオブジェクトはすべて変更されません。ユーザーが非アクティブ化されると、次のようになります。
ユーザーは、どの方法でもアカウントまたはワークスペースにログインできません。
このユーザーによって生成されたトークンを使うアプリケーションまたはスクリプトはDatabricks APIにアクセスできなくなります。トークンは残りますが、ユーザーが非アクティブ化されている間は認証には使用できません。
ユーザーが所有するノートブックは残ります。
ユーザーが所有するクラスターは引き続き実行されます。
ユーザーによって作成されたスケジュールジョブは、失敗を防ぐために新しい所有者に割り当てる必要があります。
ユーザーが再アクティブ化されると、以前と同じ権限でDatabricksにログインできるようになります。ユーザーの削除は破壊的なアクションであるため、Databricksでは、ユーザーを削除するのではなくアカウントから非アクティブ化することを推奨しています。
アカウントコンソールを使用してユーザーを非アクティブ化することはできません。 代わりに、アカウント Users API を使用します。 「API を使用して Databricks アカウントのユーザーを非アクティブ化する」を参照してください。
Databricksアカウントからユーザーを削除する
アカウント管理者は、Databricksアカウントからユーザーを削除できます。ワークスペース管理者にはその権限がありません。アカウントからユーザーを削除すると、そのユーザーはワークスペースからも削除されます。
重要
ユーザーをアカウントから削除すると、IDフェデレーションが有効になっているかどうかに関係なく、ワークスペースからもそのユーザーが削除されます。アカウント内のすべてのワークスペースにアクセスできなくする場合を除き、ユーザーのアカウントレベルの削除は避けることを推奨します。ユーザーを削除すると次のような影響が生じることに注意してください。
このユーザーによって生成されたトークンを使うアプリケーションまたはスクリプトはDatabricks APIにアクセスできなくなります。
ユーザーが所有するジョブは失敗になります。
ユーザーが所有するクラスターが停止します。
このユーザーによって作成された、[所有者として実行] 資格情報を使用して共有されているクエリーまたはダッシュボードは、共有が失敗しないように新しい所有者に割り当てる必要があります。
ユーザーがアカウントから削除されると、そのユーザーはアカウントまたはワークスペースにアクセスできなくなりますが、ユーザーの権限は維持されます。 ユーザーが後でアカウントに再度追加されると、以前の権限が回復します。
アカウントコンソールを使ってユーザーを削除するには、次の手順を実行します。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ユーザー管理]をクリックします。
ユーザー名を見つけてクリックします。
[ユーザー情報] タブで、右上隅にあるケバブ メニューをクリックし 、[削除] を選択します。
確認ダイアログで、[削除の確認]をクリックします。
アカウントコンソールを使用してユーザーを削除する場合は、そのアカウントに設定されているSCIMプロビジョニングコネクタまたはSCIM APIアプリケーションを使用してユーザーも削除する必要があります。これを行わない場合、SCIMプロビジョニングは次回の同期時にユーザーを追加し直します。「IDプロバイダーのユーザーとグループの同期」を参照してください。
SCIM APIsを使用して Databricks アカウントからユーザーを削除するには、アカウント管理者である必要があります。 「 Databricks アカウントへの ID のプロビジョニング 」と「 アカウント グループ API」を参照してください。
ワークスペース内のユーザーを管理する
ワークスペース管理者は、ワークスペース管理者設定ページを使用してユーザーを追加および管理することができます。
ワークスペース管理設定ページを使用してユーザーをワークスペースに割り当てる
ワークスペース管理設定ページを使用してワークスペースにユーザーを追加するには、以下の手順を実行します。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[ ID とアクセス ] タブをクリックします。
「ユーザー」の横にある「管理」をクリックします。
[ユーザーを追加]をクリックします。
ワークスペースに割り当てる既存のユーザーを選択するか、「 新規追加 」をクリックして新しいユーザーを作成します。
[追加]をクリックします。
Databricksから確認メールが送信されます。5分以内に確認メールが届かない場合は、迷惑メールフォルダを確認するようにユーザーに依頼してください。
注:
ワークスペースで ID フェデレーションが有効になっていない場合は、ワークスペースに新しいユーザーを追加するオプションのみが表示されます。 既存のアカウントユーザーとユーザー名(Eメールアドレス)を共有するユーザーを追加すると、それらのユーザーは統合されます。
注:
ワークスペースの REST APIsで Google ID 認証を有効にするには、ワークスペースのユーザーとして Google サービスアカウントの 電子メールアドレスを追加します。 詳しくは、Google ID トークンによる認証をご覧ください。Googleサービスのアカウントアドレスを使用してWebアプリケーションにログインすることはできません。 サービス アカウントをユーザーとして追加することは、 Databricks サービス プリンシパルとして追加することとは異なります。 ワークスペースのユーザーとして Google サービス アカウントの Eメール アドレスを追加した場合、Databricks は招待通知のメールを送信しません。
ワークスペース管理設定ページを使用してワークスペース管理者ロールをユーザーに割り当てる
ワークスペース管理者設定ページを使用してワークスペース管理者ロールを割り当てるには、次の手順を実行してください。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[ ID とアクセス ] タブをクリックします。
「ユーザー」の横にある「管理」をクリックします。
ユーザーを選択します。
[権限] タブをクリックします。
[管理者アクセス]の横にあるトグルをクリックします。
ワークスペース ユーザーからワークスペース管理者ロールを削除するには、同じ手順を実行しますが、 [ 管理者アクセス ] トグルをオフにします。
Databricksワークスペースでユーザーを非アクティブ化します
ワークスペース管理者は、Databricksワークスペース内のユーザーを非アクティブ化できます。非アクティブ化されたユーザーは、ワークスペースにログインしたり、Databricks APIからワークスペースにアクセスしたりすることはできませんが、ユーザーのすべての権限とワークスペースオブジェクトは変更されません。ユーザーが非アクティブ化されると、次のようになります。
ユーザーはどの方法でもワークスペースにログインできません。
ユーザーのステータスは、ワークスペース管理者設定ページで [非アクティブ ] と表示されます。
このユーザーによって生成されたトークンを使うアプリケーションまたはスクリプトはDatabricks APIにアクセスできなくなります。トークンは残りますが、ユーザーが非アクティブ化されている間は認証には使用できません。
ユーザーが所有するノートブックは残ります。
ユーザーが所有するクラスターは引き続き実行されます。
ユーザーによって作成されたスケジュールジョブは、失敗を防ぐために新しい所有者に割り当てる必要があります。
ユーザーが再アクティブ化されると、同じ権限でワークスペースにログインできます。 Databricks では、ユーザーの削除は破壊的なアクションであるため、ユーザーを削除するのではなく、非アクティブ化することをお勧めします。 ワークスペース管理者設定ページを使用してユーザーを非アクティブ化することはできません。 代わりに、ワークスペース ユーザー API を使用します。 「API を使用して Databricks ワークスペースでユーザーを非アクティブ化する」を参照してください。
ワークスペース管理者設定ページを使用してワークスペースからユーザーを削除する
ユーザーがワークスペースから削除されると、ユーザーはワークスペースにアクセスできなくなりますが、ユーザーに対するアクセス許可は維持されます。 ユーザーが後でワークスペースに再度追加されると、以前のアクセス許可が回復します。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[ ID とアクセス ] タブをクリックします。
「ユーザー」の横にある「管理」をクリックします。
ユーザー行の右端にあるユーザーと ケバブのメニューを見つけて、[ 削除] を選択します。
[削除]をクリックして確定します。
APIを使用してユーザーを管理する
アカウント管理者とワークスペース管理者は、Databricks APIを使用してDatabricksアカウントとワークスペースのユーザーを管理できます。
APIを使用してアカウント内のユーザーを管理する
管理者は、アカウントユーザーAPIを使用して、Databricksアカウントにユーザーを追加し、管理できます。アカウント管理者とワークスペース管理者は、別のエンドポイントURL使用してAPIを呼び出します:
アカウント管理者は
{account-domain}/api/2.0/accounts/{account_id}/scim/v2/
を使用します。ワークスペース管理者は
{workspace-domain}/api/2.0/account/scim/v2/
を使用します。
詳細については、「アカウントユーザーAPI」を参照してください。
APIを使用してDatabricksアカウントのユーザーを非アクティブ化する
アカウント管理者は、アカウントユーザーAPIを使用してユーザーのステータスを変更し、ユーザーを非アクティブ化できます。例:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
非アクティブ化されたユーザーのステータスは、アカウントコンソールで「 非アクティブ 」と表示されます。
アカウントからユーザーを非アクティブ化すると、そのユーザーはワークスペースからも非アクティブ化されます。
APIを使用してワークスペース内のユーザーを管理する
アカウント管理者とワークスペース管理者は、ワークスペース割り当てAPIを使用して、IDフェデレーションが有効になっているワークスペースにユーザーを割り当てることができます。ワークスペース割り当てAPIは、Databricksアカウントとワークスペースを介してサポートされます。
アカウント管理者は
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
を使用します。ワークスペース管理者は
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}
を使用します。
「ワークスペース割り当てAPI」を参照してください。
ワークスペースでIDフェデレーションが有効になっていない場合、ワークスペース管理者はワークスペースレベルのAPIを使用してユーザーをワークスペースに割り当てることができます。「ワークスペースユーザー API」を参照してください。
APIを使用してDatabricksワークスペースでユーザーを非アクティブ化する
ワークスペース管理者は、Workspace Users APIを使用してユーザーのステータスを変更し、ユーザーを非アクティブにできます。例:
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Users/<user-id> \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .
update-user.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "replace",
"path": "active",
"value": [
{
"value": "false"
}
]
}
]
}
非アクティブ化されたユーザーのステータスは、ワークスペース管理設定ページで [非アクティブ]というラベルが付けられます。