Google
Cloud Platform
Amazon Web Services
Microsoft Azure認証とアクセス制御
この記事では、Databricks の認証とアクセス制御について紹介します。 データへのアクセスを保護する方法については、 「Unity カタログを使用したデータガバナンス」を参照してください。
Databricks でユーザーとグループを最適に構成する方法の詳細については、「 ID のベスト プラクティス」を参照してください。
シングルサインオン
Google クラウド ID (または GSuite) 形式のシングル サインオンは、Databricks by Default で使用できます。 Google クラウド ID のシングル サインオンは、アカウント コンソールとワークスペースの両方に使用します。 多要素認証は、Google クラウド ID で有効にできます。
必要に応じて、Google クラウド ID アカウント (または GSuite アカウント) を構成して、外部の SAML 2.0 ID プロバイダー (IdP) とフェデレーションし、ユーザーの資格情報を検証できます。 Google クラウド ID は、Microsoft Entra ID (旧称 Azure Active Directory)、Okta、Ping、およびその他の IdP とフェデレーションできます。 ただし、Databricks は Google Identity Platform APIsとのみ直接やり取りします。
SCIMプロビジョニング を使用したIDプロバイダーからのユーザーとグループの同期
SCIM またはクロスドメイン ID 管理システム、ユーザー プロビジョニングを自動化できるオープン スタンダードを使用して、ID プロバイダーから Databricks アカウントにユーザーとグループを自動的に同期できます。SCIM は、ID プロバイダーを使用して Databricks にユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員またはチームのオンボードを合理化します。 ユーザーが組織を離れるか、Databricks にアクセスする必要がなくなった場合、管理者は ID プロバイダーでユーザーを終了でき、そのユーザーのアカウントも Databricks から削除されます。 これにより、一貫性のあるオフボード プロセスが保証され、承認されていないユーザーが機密データにアクセスするのを防ぐことができます。 詳細については、「 ID プロバイダーからユーザーとグループを同期する」を参照してください。
セキュア API 認証
Databricks 個人用アクセストークンは、Databricks ワークスペース レベルでのリソースと操作に対して最もよくサポートされている種類の資格情報の 1 つです。 API 認証をセキュリティで保護するために、ワークスペース管理者は、Databricks 個人用アクセストークンを作成して使用できるユーザー、サービスプリンシパル、およびグループを制御できます。
詳細については、「 Databricks オートメーションへのアクセスを管理する」を参照してください。
ワークスペース管理者は、Databricks の個人アクセス権を確認し、トークンを削除し、ワークスペースの新しいトークンの最大有効期間を設定することもできます。 「個人アクセス時の監視と管理」を参照してください。
Databricks オートメーションに対する認証の詳細については、「 Databricks オートメーションの認証 - 概要」を参照してください。
アクセス制御の概要
Databricks には、セキュリティ保護可能なオブジェクトごとに異なるアクセス制御システムがあります。 次の表は、セキュリティ保護可能なオブジェクトの種類を管理するアクセス制御システムを示しています。
セキュリティ保護可能なオブジェクト |
入退室管理システム |
|---|---|
ワークスペースレベルのセキュリティ保護可能なオブジェクト |
アクセス制御リスト |
アカウントレベルのセキュリティ保護可能なオブジェクト |
アカウント役割ベースのアクセス制御 |
データのセキュリティ保護可能なオブジェクト |
Unity Catalog |
Databricks 、ユーザー、サービスプリンシパル、およびグループに直接割り当てられる管理者のロールと資格も提供します。
データの保護に関する情報については、 Unity Catalogを使用したデータガバナンスを参照してください。
アクセス制御リスト
Databricksでは、アクセス制御リスト (ACL) を使用して、ノートブックや SQL ウェアハウスなどのワークスペース オブジェクトへのアクセス許可を構成できます。 すべてのワークスペース管理者ユーザーは、アクセス コントロール リストを管理するための委任されたアクセス許可を与えられたユーザーと同様に、アクセス コントロール リストを管理できます。 アクセス制御リストの詳細については、 「アクセス制御リスト」を参照してください。
アカウント役割ベースのアクセス制御
アカウント役割ベースのアクセス制御を使用して、サービスプリンシパルやグループなどのアカウントレベルのオブジェクトを使用する権限を構成できます。 アカウントの役割はアカウント内で一度定義され、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーは、グループ マネージャーやサービスプリンシパル マネージャーなど、アカウント ロールを管理するための委任されたアクセス許可を与えられたユーザーと同様に、アカウント ロールを管理できます。
特定のアカウント レベルのオブジェクトのアカウント ロールの詳細については、次の記事を参照してください。
Databricks 管理者のロール
セキュリティ保護可能なオブジェクトのアクセス制御に加えて、Databricks プラットフォームには組み込みのロールがあります。 ユーザー、サービスプリンシパル、グループにロールを割り当てることができます。
Databricks プラットフォームで使用できる管理者権限には、主に 2 つのレベルがあります。
アカウント管理者:ワークスペースの作成、ユーザー管理、クラウドリソース、アカウント使用状況の監視など、Databricksアカウントを管理します。
ワークスペース管理者:アカウント内の個々のワークスペースのワークスペースID、アクセス制御、設定、機能を管理します。
さらに、ユーザーには、より狭い権限セットを持つ次の機能固有の管理者ロールを割り当てることができます。
Marketplace 管理者: Marketplace リストの作成と管理を含む、アカウントの Databricks Marketplace プロバイダー プロファイルを管理します。
メタストア管理者: Unity Catalogメタストア内のすべてのセキュリティ保護可能なオブジェクトの権限と所有権 (カタログの作成やテーブルのクエリを実行できる人など) を管理します。
ユーザーをワークスペース ユーザーとして割り当てることもできます。 ワークスペース ユーザーはワークスペースにログインでき、ワークスペース レベルの権限を付与できます。
詳細については、 「シングル サインオン ( SSO ) の設定」を参照してください。
ワークスペースの権利
資格は、ユーザー、サービスプリンシパル、またはグループが指定された方法でDatabricksと対話できるようにするプロパティです。 ワークスペース管理者は、ワークスペース レベルでユーザー、サービスプリンシパル、およびグループに資格を割り当てます。 詳細については、 「資格の管理」を参照してください。
