ダッシュボード管理ガイド
この記事では、AI/BI ダッシュボードに適用できるアカウント レベルとワークスペース レベルでの管理制御について説明します。
ダッシュボードの共有
資格情報が埋め込まれた公開されたダッシュボードは、ユーザーが元のワークスペースにアクセスできない場合でも、アカウント内のユーザーやグループと安全に共有できます。 ユーザーは Databricks アカウントに登録する必要がありますが、追加のリソースにアクセスしたり、ワークスペースに追加したりする必要はありません。
公開されたダッシュボードと埋め込み資格情報の詳細については、「 ダッシュボードの公開 」を参照してください。
ネットワークに関する考慮事項
IPアクセスリストが設定されている場合、ダッシュボードにアクセスできるのは、VPNを使用する場合など、ユーザーが承認されたIP範囲内からダッシュボードにアクセスする場合のみです。 これは、ワークスペースに割り当てられているかどうかに関係なく、すべてのユーザーに適用されます。 アクセスの構成の詳細については、「 IP アクセス リストの管理」を参照してください。
ダッシュボード共有のためのユーザーとグループの管理
Databricks に登録されているすべてのユーザーは、Databricks アカウントに属しています。 Databricks アカウントにユーザーを登録すると、そのユーザーが共有ダッシュボードを表示するときに Databricks が認証に使用できる検証可能な ID が確立されます。 個々のユーザーをグループに整理すると、ダッシュボードの作成者と編集者が共有しやすくなります。 たとえば、作成者は、アカウント内の各ユーザーと共有するのではなく、1 つの名前付きグループと共有できます。
ダッシュボードは、 Databricks SQL アクセス 資格を持つワークスペース メンバーによって作成されます。 ユーザーとグループは、0 個、1 個、または複数のワークスペースにアクセスできます。 ワークスペース ユーザーには、コンピュート リソースにアクセスする権限を付与することもでき、ダッシュボードの作成や共同作業などを行うことができます。
ダッシュボードを共有する場合、作成者は、他のワークスペース オブジェクトの場合と同様に、ユーザーとグループを [ アクセス権を持つユーザー ] リストに追加して、特定の権限を割り当てることができます。 また、次のいずれかのオプションを使用して 共有設定 を構成することもできます。
アクセス権を持つユーザーのみが閲覧できます
アカウント内の誰でも閲覧可
ダッシュボードが埋め込み資格情報で公開され、アカウント内の特定のユーザー、グループ、またはすべてのユーザーと共有されている場合、それらのユーザーは、元のワークスペースへのアクセス権があるかどうかに関係なく、ダッシュボードにアクセスできます。
次の図は、ワークスペース レベルとアカウント レベルでのユーザーとグループの関係を示しています。
Databricks では、アカウント管理者がアカウント レベルの SCIM プロビジョニングを使用して、すべてのユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。 Databricks アカウントで ID を設定するときに、これらのユーザーとグループを手動で登録することもできます。 これにより、作成者がダッシュボードを共有しようとする前に、その受信者を適格な受信者として含めることができます。 「すべての ID プロバイダー ユーザーが Databricks にアクセスできるようにする」を参照してください。
アカウント登録以外に、追加の設定は必要ありません。 ユーザーをワークスペースに割り当てたり、コンピュート リソースへのアクセス権を付与したりする必要はありません。
ダッシュボードの埋め込みを管理する
埋め込みにより、少なくとも CAN EDIT 権限を持つダッシュボード ユーザーは、[ 共有 ] ダイアログを使用して iframe 埋め込みコードを生成できます。 ワークスペース管理者は、埋め込みダッシュボードのホスティングが承認されているドメイン(存在する場合)を管理できます。
ダッシュボードを埋め込むことができるドメインを定義するポリシーを設定するには、次の手順を実行します。
Databricksワークスペースの上部のバーにあるユーザー名をクリックし、[設定]を選択します。
「セキュリティ」をクリックします。
[外部アクセス]セクションまで下にスクロールします。
[埋め込みダッシュボード] セクションで、ドロップダウン メニューを使用してワークスペースのポリシーを設定します。
次の 3 つのポリシー オプションがあります。
許可: ダッシュボードは任意のドメインに埋め込むことができます。
承認済みドメインを許可する: ダッシュボードは、承認済みリストに一致するサイトにのみ埋め込むことができます。
拒否: ダッシュボードはどのドメインにも埋め込むことはできません。
[ 承認済みドメインを許可する] を選択した場合は、このセクションを使用して、次の操作を行って承認済みドメインの一覧を管理できます。
「Embed Dashboards」の横にある「Manage」をクリックします。
[承認済みドメイン] ダイアログのテキスト フィールドにドメインを入力します。各エントリの後に [ ドメインを追加 ] をクリックします。
[保存]をクリックします。
許可されたホストのリストを定義するためのガイダンスについては、 W3C の Content Security ポリシー ドキュメントを参照してください。
ワークスペース管理者のサブスクリプション制御
ワークスペース管理者は、ユーザーがサブスクリプションを使用してダッシュボードを配布できないようにすることができます。 この設定を変更すると、すべてのユーザーがスケジュールされたダッシュボードにEメールサブスクライバーを追加できなくなります。 ダッシュボードの編集者は購読者を追加できず、ダッシュボードの閲覧者はスケジュールされたダッシュボードを購読するオプションを持っていません。
Eメール アップデートの共有を防ぐには:
Databricksワークスペースの上部のバーにあるユーザー名をクリックし、[設定]を選択します。
「設定」サイドバーで、「通知」をクリックします。
[ダッシュボードのEメールサブスクリプションを有効にする]オプションをオフにします。
この設定がオフの場合、既存のサブスクリプションは停止するようになり、誰も既存のサブスクリプション リストを変更できなくなります。 この設定を再びオンにすると、サブスクリプションは既存のリストを使用して再開されます。
ワークスペース管理者のダウンロード制御
ワークスペース 管理者は、次の手順でセキュリティ設定を調整して、ユーザーが結果をダウンロードできないようにすることができます。
Databricksワークスペースの上部のバーにあるユーザー名をクリックし、[設定]を選択します。
「設定」サイドバーで、「セキュリティ」をクリックします。
SQL 結果のダウンロード オプションをオフにします。
ダッシュボードの所有権を譲渡する
ワークスペース管理者は、ダッシュボードの所有権を別のユーザーに譲渡できます。
ダッシュボードのリストに移動します。 編集するダッシュボード名をクリックします。
[共有] をクリックします。
[共有] ダイアログの右上にあるアイコンをクリックします。
検索するユーザー名の入力を開始し、新しい所有者を選択します。
[確認]をクリックします。
新しい所有者が [ 共有 ] ダイアログに [ 管理可能 ] アクセス許可と共に表示されます。 所有者別に一覧表示されたダッシュボードを表示するには、[ ダッシュボード] をクリックして 使用可能なダッシュボードの一覧に移動します。
ダッシュボードのアクティビティを監視する
管理者は、監査ログを使用してダッシュボードのアクティビティを監視できます。 「ダッシュボードのイベント」を参照してください。監査ログ情報にアクセスして、下書き、公開済み、埋め込みダッシュボードに関する一般的な質問に答える方法を示すコード例については、「 監査ログを使用してダッシュボードの使用状況を監視する」を参照してください。