Partner Connect で接続を管理する
パートナー ソリューションとの Azure Databricks ワークスペース接続を使用して、次のような管理タスクを実行できます。
- パートナー アカウントのユーザーの管理。
- 接続で使用する Azure Databricks サービス プリンシパルと関連する Azure Databricks 個人用アクセス トークンの管理。
- パートナーからのワークスペースの切断。
Partner Connect を管理するには、ワークスペースに ワークスペース管理者としてサインインする必要があります。詳細については、ユーザーの管理を参照してください。
パートナー アカウント ユーザーを管理する
ユーザーが Partner Connect を使用してパートナーのアカウントまたは Web サイト (Fivetran や Rivery など) にサインインすることを当該パートナーが許可している場合、組織の人員がいずれかの Azure Databricks ワークスペースからパートナーに初めて接続したときに、その人員は組織のすべてのワークスペースでそのパートナーの "パートナー アカウント管理者" になります。 組織内の他のユーザーがパートナーにサインインできるようにするには、パートナー アカウント管理者が最初にそれらのユーザーを組織のパートナー アカウントに追加する必要があります。 一部のパートナーは、パートナー アカウント管理者がこのアクセス許可も委任できるようにします。 詳細については、パートナーの Web サイトのドキュメントを参照してください。
組織のパートナー アカウントにユーザーを追加できるひとがいない場合は (たとえば、パートナー アカウント管理者がいなくなった場合)、パートナーに相談してください。 サポート リンクについては、「Azure Databricks Partner Connect パートナー」の一覧を参照してください。
Unity Catalog によって管理されているデータをパートナー ソリューションに接続する
ワークスペースが Unity Catalog 対応の場合は、選択したパートナー ソリューションを Unity Catalog によって管理されるデータに接続できます。 Partner Connect を使用して接続を作成する場合、パートナーがレガシ Hive メタストア (hive_metastore) を使用するか、所有している別のカタログを使用するかを選択できます。 メタストア管理者は、ワークスペースに割り当てられているメタストア内の任意のカタログを選択できます。
注意
パートナー ソリューションが Partner Connect を使用した Unity Catalog をサポートしていない場合は、ワークスペースの既定のカタログのみを使用できます。 既定のカタログが hive_metastore ではなく、既定のカタログを所有していない場合は、エラーが発生します。
Partner Connect で Unity Catalog をサポートするパートナーの一覧については、「Azure Databricks Partner Connect パートナー」の一覧を参照してください。
接続のトラブルシューティングの詳細については、 パートナー接続のトラブルシューティングを参照してください。
サービス プリンシパルと個人用アクセス トークンを管理する
Azure Databricks サービス プリンシパルを必要とするパートナーの場合、Azure Databricks ワークスペース内の誰かが特定のパートナーに初めて接続すると、パートナー Connect がワークスペースに Azure Databricks サービス プリンシパルを、そのパートナーで使用するために作成します。 パートナー Connect は、形式 <PARTNER-NAME>_USER を使用してサービス プリンシパルの表示名を生成します。 たとえば、パートナー Fivetran の場合、サービス プリンシパルの表示名は FIVETRAN_USER です。
パートナー Connect は Azure Databricks 個人用アクセス トークンも作成して、それをその Azure Databricks サービス プリンシパルに関連付けます。 パートナー Connect はこのトークンの値を背後のパートナーに提供して、そのパートナーとの接続を完了します。 このトークンの値を表示や取得することはできません。 このトークンは、あなたや他の誰かが削除するまで期限切れになりません。 「パートナーからの切断」も参照してください。
パートナー Connect は次のアクセス許可をワークスペース内の Azure Databricks サービス プリンシパルに対して付与します。
| パートナー | Permissions |
|---|---|
| Fivetran、Matillion、Power BI、Tableau、erwin Data Modeler | これらのソリューションは Azure Databricks サービス プリンシパルを必要としません。 |
| dbt Cloud、Hevo Data、Rivery、Rudderstack、Snowplow | * 個人用アクセス トークンを作成するための使用可能トークン アクセス許可。 * SQL ウェアハウスの作成のアクセス許可。 * ワークスペースへのアクセス権。 * Databricks SQL へのアクセス権。 * (Unity Catalog) 選択したカタログに対する USE CATALOG 特権。* (Unity Catalog) 選択したカタログに対する CREATE SCHEMA 特権。* (レガシ Hive メタストア) hive_metastore カタログに対する USAGE 特権。* (レガシ Hive メタストア) レガシ Hive メタストア内に、Partner Connect が自動的にオブジェクトを作成できるようにする、 hive_metastore カタログに対する CREATE 特権。* それが作成するテーブルの所有権。 サービス プリンシパルは、それが作成しないテーブルに対してクエリを行うことができません。 |
| Prophecy | * 個人用アクセス トークンを作成するための使用可能トークン アクセス許可。 * 自分のワークスペースへのアクセス権。 * クラスター作成のアクセス許可。 サービス プリンシパルは、それが作成しないクラスターにアクセスできません。 * ジョブ作成のアクセス許可。 サービス プリンシパルは、それが作成しないジョブにアクセスできません。 |
| John Snow Labs、Labelbox | * 個人用アクセス トークンを作成するための使用可能トークン アクセス許可。 * ワークスペースへのアクセス権。 |
| Anomalo、AtScale、Census、Hex、Hightouch、Lightup、Monte Carlo、Preset、Privacera、Qlik Sense、Sigma、Stardog | * 個人用アクセス トークンを作成するための使用可能トークン アクセス許可。 * 選択した Databricks SQL ウェアハウスに対する使用可能特権。 * 選択したスキーマに対する SELECT 特権。* (Unity Catalog) 選択したカタログに対する USE CATALOG 特権。* (Unity Catalog) 選択したスキーマに対する USE SCHEMA 特権。* (レガシ Hive メタストア) 選択したスキーマに対する USAGE 特権。* (レガシ Hive メタストア) 選択したスキーマに対する READ METADATA 特権。 |
| Dataiku | * 個人用アクセス トークンを作成するための使用可能トークン アクセス許可。 * SQL ウェアハウスの作成のアクセス許可。 * (Unity Catalog) 選択したカタログに対する USE CATALOG 特権。* (Unity Catalog) 選択したスキーマに対する USE SCHEMA 特権。* (Unity Catalog) 選択したカタログに対する CREATE SCHEMA 特権。* (レガシ Hive メタストア) hive_metastore カタログと選択したスキーマに対する USAGE 特権。* (レガシ Hive メタストア) レガシ Hive メタストア内に、Partner Connect が自動的にオブジェクトを作成できるようにする、 hive_metastore カタログに対する CREATE 特権。* (レガシ Hive メタストア) 選択したスキーマに対する SELECT 特権。 |
パートナーからの切断
パートナーのタイルにチェック マーク アイコンがある場合は、Azure Databricks ワークスペース内の誰かが既にそのパートナーへの接続を作成していることを意味します。 そのパートナーから切断するには、そのパートナーのタイルをパートナー Connect でリセットします。 パートナーのタイルをリセットすると、以下が行われます。
- パートナーのタイルからチェック マーク アイコンがクリアされます。
- 関連する SQL ウェアハウスまたはクラスターが削除されます (パートナーがそれを必要とする場合)。
- 関連する Azure Databricks サービス プリンシパルが削除されます (パートナーがそれを必要とする場合)。 サービス プリンシパルを削除すると、そのサービス プリンシパルの関連する Azure Databricks 個人用アクセス トークンも削除されます。 このトークンの値は、何がワークスペースとパートナーの間の接続を完了するかです。 詳細については、「サービス プリンシパルと個人用アクセス トークンを管理する」を参照してください。
警告
SQL ウェアハウス、クラスター、Azure Databricks サービス プリンシパル、または Azure Databricks サービス プリンシパルの個人用アクセス トークンを削除すると完全に削除され、元に戻すことができません。
パートナーのタイルをリセットしても、組織の関連するパートナー アカウントは削除されず、パートナーとの関連する接続設定は変更されません。 ただし、パートナーのタイルをリセットすると、ワークスペースと関連するパートナー アカウントの間の接続が切断します。 再接続するには、ワークスペースからパートナーへの新しい接続を作成し、関連するパートナー アカウントの元の接続設定を、新しい接続設定に合わせて手動で編集する必要があります。
パートナーのタイルをリセットするには、タイルをクリックし、[接続の削除] をクリックして、画面の指示に従います。
あるいは、Azure Databricks ワークスペースをパートナーから手動で切断することもできます。その場合は関連する Azure Databricks サービス プリンシパルを、そのパートナーに関連付けられているワークスペースで削除します。 これをしたほうがよいのは、ワークスペースをパートナーから切断した後も、他の関連リソースを保持し、タイルにチェック マーク アイコンを表示し続けたいような場合です。 サービス プリンシパルを削除すると、そのサービス プリンシパルの関連する個人用アクセス トークンも削除されます。 このトークンの値は、何がワークスペースとパートナーの間の接続を完了するかです。 詳細については、「サービス プリンシパルと個人用アクセス トークンを管理する」を参照してください。
Azure Databricks サービス プリンシパルを削除するには、Databricks REST API を次のように使用します。
- ワークスペースの Workspace Service Principals API で
GET /preview/scim/v2/ServicePrincipals操作を呼び出して、Azure Databricks サービス プリンシパルのアプリケーション ID を取得します。 応答のサービス プリンシパルのapplicationIdをメモします。 - サービス プリンシパルの
applicationIdを使用して、ワークスペースの Workspace Service Principals API でDELETE /preview/scim/v2/ServicePrincipals操作を呼び出します。
たとえば、ワークスペースの利用可能なサービス プリンシパルの表示名とアプリケーション ID の一覧を取得するには、curl を次のように呼び出します。
curl --netrc --request GET \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals \
| jq '[ .Resources[] | { displayName: .displayName, applicationId: .applicationId } ]'
<databricks-instance> を Azure Databricks ワークスペース単位のURL で、たとえばワークスペースの場合は adb-1234567890123456.7.azuredatabricks.net に置き換えます。
サービス プリンシパルの表示名は、出力の displayName フィールドにあります。 パートナー Connect は、形式 <PARTNER-NAME>_USER を使用してサービス プリンシパルの表示名を生成します。 たとえば、パートナー Fivetran の場合、サービス プリンシパルの表示名は FIVETRAN_USER です。
サービス プリンシパルのアプリケーション ID 値は、出力の applicationId フィールド (例: 123456a7-8901-2b3c-45de-f678a901b2c) にあります。
サービス プリンシパルを削除するには、curl を次のように呼び出します。
curl --netrc --request DELETE \
https://<databricks-instance>/api/2.0/preview/scim/v2/ServicePrincipals/<application-id>
置換前のコード:
<databricks-instance>を ワークスペース単位のURL で。たとえばワークスペースの場合はadb-1234567890123456.7.azuredatabricks.netで。<application-id>をサービス プリンシパルのアプリケーション ID 値で。
前の例では、.netrc ファイルと jq を使用しています。 この場合、.netrc ファイルが使用するのはあなたの個人用アクセス トークン値であり、サービス プリンシパルのそれではありません。
ワークスペースをパートナーから切断した後、パートナーがワークスペースに作成する関連リソースをクリーンアップしたくなるかもしれません。 これには、SQL ウェアハウスまたはクラスター、関連するデータ ストレージの場所が含まれます。 詳細については、「SQL ウェアハウスとは」またはコンピューティングの削除に関するページを参照してください。
パートナーに接続している他のワークスペースが組織の中にないことがはっきりしている場合は、そのパートナーに関する組織のアカウントを削除することもできます。 これを行うには、パートナーに相談してください。 サポート リンクについては、適切なパートナー接続ガイドを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示