Azure Databricks 管理の概要

  • [アーティクル]

この記事では、Azure Databricks 管理者の特権と責務の概要について説明します。

必要な Azure 管理者アクセス許可

Azure Databricks サービスを管理するには、次の Azure 管理者アクセス許可が必要です。

  • Azure 共同作成者または所有者のロールを持ち、Azure Databricks サービス、Azure サブスクリプション、診断ログの構成を表示および変更できるユーザー。
  • Microsoft Entra ID (旧称 Azure Active Directory) 条件付きアクセスを有効にするアクセス許可を持つ Microsoft Entra ID 管理者
  • Azure Databricks ワークスペースを作成するには、次の要件のいずれかを満たしている必要があります。
    • Azure 共同作成者または所有者になっている必要があります。
    • Microsoft.ManagedIdentity リソース プロバイダーがご利用のサブスクリプションに登録されている必要があります。 Azure ドキュメントの「リソース プロバイダーの登録」を参照してください。

Databricks 管理者の種類

Azure Databricks プラットフォームで使用できる管理者特権には、主に 2 つのレベルがあります。

  • アカウント管理者: Unity Catalog の有効化、ユーザー プロビジョニング、アカウント レベルの ID 管理など、Azure Databricks アカウントを管理します。

  • ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、機能を管理します。

さらに、ユーザーには、より狭い権限セットを持つ次の機能固有の管理者ロールを割り当てることができます。

  • Marketplace 管理者: Marketplace リストの作成と管理を含む、アカウントの Databricks Marketplace プロバイダー プロファイルを管理します。
  • メタストア管理者: Unity Catalog メタストア内のすべてのセキュリティ保護可能なオブジェクトの権限と所有権 (カタログの作成やテーブルのクエリを実行できる人など) を管理します。

アカウント管理者とは

アカウント管理者には、Azure Databricks アカウント全体に対する特権があります。 アカウント管理者は、アカウント設定の管理、ユーザー プロビジョニングの設定、Unity Catalog 有効化用のメタストアの作成、アカウント内のすべてのワークスペースの ID の管理を行うことができます。

アカウント管理者は、アカウント管理者ロールとワークスペース管理者ロールを他のユーザーに委任することもできます。

最初のアカウント管理者を設置する

Note

アカウント管理者を確立するには、少なくとも 1 つの Azure Databricks ワークスペースがアカウントにデプロイされている必要があります。

アカウント コンソールを有効にし、最初のアカウント管理者を設置するには、Microsoft Entra ID (旧称 Azure Active Directory) の全体管理者ロールを持つユーザーと連携する必要があります。 セキュリティ上の目的により、最初のアカウント管理者ロールを割り当てるアクセス許可が付与されているのは、Microsoft Entra ID の全体管理者ロールを持つユーザーのみです。 一連の手順を完了したら、Azure Databricks アカウントから全体管理者を削除できます。

全体管理者は、次の手順を使用する必要があります。

  1. 全体管理者の資格情報を使用して Azure Portal にサインインします。
  2. accounts.azuredatabricks.net に移動し、Microsoft Entra ID でサインインします。 Azure Databricks によって、アカウント管理者ロールが自動的に作成されます。
  3. [ユーザー管理] をクリックします。
  4. アカウント管理者ロールを委任するユーザーのユーザー名を見つけて、クリックします。
  5. [ロール] タブで、[アカウント管理者] をオンにします。

別のユーザーにアカウント管理者ロールが委任されたら、Microsoft Entra ID の全体管理者は関与する必要がなくなります。 新しいアカウント管理者は、Azure Databricks アカウントから全体管理者を削除し、他のユーザーにアカウント管理者ロールを割り当てることができます。

アカウント コンソールにアクセスする

アカウント コンソールでは、アカウント管理者が Azure Databricks アカウントを管理します。

既定のアカウント コンソール ビュー

アカウント管理者は、アカウント コンソールに https://accounts.azuredatabricks.net でアクセスするか、ワークスペース UI の上部にある自分のメール アドレスをクリックし、[アカウントの管理] を選択してアクセスできます。

アカウント管理者ではないアカウント ユーザーは、https://accounts.azuredatabricks.net からのアカウントへのみアクセスできます。 ログインすると、アカウント コンソールが開き、ワークスペースの一覧が表示されます。

Note

複数の Microsoft Entra ID テナントに存在する場合、アカウント コンソールの URL によって、既定のテナントの Azure Databricks アカウント コンソールに移動します。 別のテナントのアカウント コンソールにアクセスするには、優先テナントのワークスペース内からアカウント コンソールにアクセスします。

アカウント管理者の責務

アカウント管理者の責務は次のとおりです。

Unity Catalog を有効にする

Note

お使いの Azure Databricks アカウントが 2023 年 11 月 9 日以降に作成されたものである場合、ワークスペースで Unity Catalog が既定で有効になっている可能性があります。 詳細については、「Unity Catalog の自動有効化」を参照してください。

アカウントで Unity Catalog を有効にするには、アカウント管理者が必要です。 このプロセスには、アカウント管理者のみが実行できる Unity Catalog メタストアの作成が含まれます。

Unity Catalog を有効にする手順については、「Unity Catalog の使用の開始」を参照してください。

ID を管理する

アカウント管理者は、該当する場合、ID プロバイダーを Azure Databricks と同期する必要があります。 「Microsoft Entra ID からユーザーとグループを同期する」を参照してください。

アカウント内の少なくとも 1 つのワークスペースで Unity Catalog を有効にしている場合は、アカウント コンソールで ID (ユーザー、グループ、サービス プリンシパル) を管理する必要があります。 アカウント管理者は、これらの ID にアクセス許可を付与し、ワークスペースを割り当てることができます。

詳細については、「ユーザーとグループの管理」を参照してください。

システム テーブルを使用してアカウントを監視する

システム テーブルは、system カタログで見つかるアカウントの運用データの、Azure Databricks がホストする分析ストアです。 アカウント管理者は、システム テーブルから監査ログ、課金対象の使用状況ログ、系列データなどへのアクセスを有効にすることができます。 「システム テーブルを使用して使用状況を監視する」を参照してください。

アカウント設定を管理する

アカウント管理者は、アカウント コンソールの [設定] セクションを使用して、Azure Databricks アカウントの各種設定を管理できます。 これには、アカウント全体で新機能を有効にし、IP アクセス リストを構成する作業も含まれます。

ワークスペース管理者とは

ワークスペース管理者は、1 つのワークスペース内の管理者特権を持ちます。 ワークスペース レベルの ID の管理、コンピューティングの使用の規制、ロールベースのアクセスの制御の有効化と委任を行うことができます (Premium プランのみ)。

管理者設定にアクセスする

ワークスペース管理者は、ワークスペースの管理者設定ページにアクセスできる唯一のユーザーです。 ワークスペース管理者が管理者設定にアクセスするには、Azure Databricks ワークスペースの上部バーにあるユーザー名をクリックし、[設定] を選択します。

デフォルトの管理者設定ビュー

ワークスペース管理者の責務

ワークスペース管理者の責務は次のとおりです。

ワークスペースで ID を管理する

ワークスペースで Unity Catalog が有効になっている場合は、ID をアカウント レベルで追加する必要があります。 その後、ワークスペース管理者は、ユーザー、グループ、サービス プリンシパルをワークスペースに割り当てることができます。 ワークスペースでの ID の追加と削除の詳細については、「ユーザー、サービス プリンシパル、グループを管理する」を参照してください。

注意

Databricks Academy には、ID 管理に関する無料コースがあります。 コースにアクセスする前に、Databricks Academy に登録する必要があります (未登録の場合)。

コンピューティング リソースを作成して管理する

ワークスペース管理者は、ワークスペース ユーザー用に SQL ウェアハウス (Databricks SQL 内のデータ オブジェクトに対して SQL コマンドを実行できるコンピューティング リソース) とクラスターを作成できます。 SQL ウェアハウスの作成手順については、「SQL ウェアハウスを作成する」を参照してください。

また、ワークスペースでのコンピューティング リソースの使用方法を規制することも、ワークスペース管理者の仕事です。 ワークスペース管理者には、次のツールがあります。

  • クラスター ポリシーを使用して、ワークスペース ユーザーのクラスター作成オプションを制限します。
    • Databricks では、クラスター スコープの init スクリプトとして、すべての init スクリプトを管理することが推奨されています。 グローバル init スクリプトを使用する代わりに、クラスター ポリシーを使用して init スクリプトを管理します。
  • Unity Catalog にアクセスできるコンピューティング リソースを確認します。

注意

Databricks Academy には、コンピューティング リソースの管理に関する無料コースがあります。

ワークスペースの機能と設定を管理する

ワークスペース管理者には、ワークスペースの一部の動作と設定を管理する責任があります。 その他の使用可能なワークスペース設定については、ワークスペース設定の管理に関するページを参照してください。

注意

Databricks Academy には、Databricks ワークスペースの管理とセキュリティに関する無料コースがあります。

その他の技術情報

Databricks Academy には、プラットフォーム管理者向けのマイペースで進められる無料ラーニング パスがあります。 コースにアクセスする前に、Databricks Academy に登録する必要があります (未登録の場合)。

また、ライブのプラットフォーム管理トレーニングへの参加にサインアップすることもできます。