サービスプリンシパル

2025-05-01

このページには、Azure Databricks のサービスプリンシパルの概要が記載されています。サービスプリンシパルを管理する方法については、「サービスプリンシパルの管理」を参照してください。

サービスプリンシパルとは

サービスプリンシパルは、自動化とプログラムによるアクセス用に設計された Azure Databricks の特殊な ID です。サービスプリンシパルは、Azure Databricks リソースへの API 専用アクセスを自動化されたツールとスクリプトに提供し、ユーザーアカウントを使用するよりも高いセキュリティを提供します。

Azure Databricks ユーザーと同じ方法で、サービスプリンシパルのリソースへのアクセスを許可および制限できます。例えば、あなたは次のことができます:

サービスプリンシパルにアカウント管理者またはワークスペース管理者ロールを付与する
Unity カタログを使用して、サービスプリンシパルにデータへのアクセス権を付与します。
サービスプリンシパルをメンバーとしてグループに追加します。

Azure Databricks のユーザー、サービスプリンシパル、およびグループに、サービスプリンシパルを使用するアクセス許可を付与できます。これにより、ユーザーは ID ではなくサービスプリンシパルとしてジョブを実行できます。これにより、ユーザーが組織を離れた場合やグループが変更された場合にジョブが失敗するのを防ぐことができます。

サービスプリンシパルを使用する利点:

セキュリティと安定性: 個々のユーザー資格情報に依存せずにジョブとワークフローを自動化し、ユーザーアカウントの変更や出発に関連するリスクを軽減します。
柔軟なアクセス許可: ユーザー、グループ、またはその他のサービスプリンシパルがアクセス許可をサービスプリンシパルに委任することを許可し、ユーザーに代わってジョブを実行できるようにします。
API-Only ID: 通常の Databricks ユーザーとは異なり、サービスプリンシパルは API アクセス専用に設計されており、Databricks UI にログインすることはできません。

Databricks と Microsoft Entra ID サービスプリンシパル

サービスプリンシパルには、Azure Databricks マネージドサービスプリンシパルまたは Microsoft Entra ID マネージドサービスプリンシパルを指定できます。

Azure Databricks マネージドサービスプリンシパルは、Databricks OAuth 認証と個人用アクセストークンを使って、Azure Databricks に対する認証を行うことができます。 Microsoft Entra ID マネージドサービスプリンシパルは、Databricks OAuth 認証と Microsoft Entra ID トークンを使用して Azure Databricks に対して認証を行うことができます。サービスプリンシパルの認証について詳しくは、「サービスプリンシパルのトークンを管理する」をご覧ください。

Azure Databricks マネージドサービスプリンシパルは、Azure Databricks 内で直接管理されます。 Microsoft Entra ID マネージドサービスプリンシパルは、追加のアクセス許可が必要とされる Microsoft Entra ID 内で管理されます。 Databricks では、Azure Databricks の自動化に Azure Databricks マネージドサービスプリンシパルを使用し、Azure Databricks やその他の Azure リソースで同時に認証する必要がある場合は、Microsoft Entra ID マネージドサービスプリンシパルを使用することをお勧めします。

Azure Databricks マネージドサービスプリンシパルを作成するには、このセクションをスキップし、「サービスプリンシパルを管理および使用できるユーザー」をお読みください。

Azure Databricks で Microsoft Entra ID マネージドサービスプリンシパルを使うには、管理者ユーザーが Azure で Microsoft Entra ID アプリケーションを作成する必要があります。 Microsoft Entra ID マネージドサービスプリンシパルを作成するには、 MS Entra サービスプリンシパル認証を参照してください。