アクセス制御の概要
Azure Databricks では、セキュリティ保護可能なオブジェクトが異なると、使われるアクセス制御システムも異なります。 次の表は、セキュリティ保護可能なオブジェクトの種類ごとに、それを管理するアクセス制御システムを示したものです。
セキュリティ保護可能なオブジェクト | アクセス制御システム |
---|---|
ワークスペース レベルのセキュリティ保護可能なオブジェクト | アクセス制御リスト |
アカウント レベルのセキュリティ保護可能なオブジェクト | アカウントのロールベースのアクセス制御 |
データのセキュリティ保護可能なオブジェクト | Unity Catalog、Hive メタストア テーブルのアクセス制御 |
Azure Databricks には、ユーザー、サービス プリンシパル、グループに直接割り当てられる管理者ロールとエンタイトルメントも用意されています。
Note
アクセス制御には Premium プランが必要です。
アクセス制御リスト
Azure Databricks では、アクセス制御リスト (ACL) を使用して、ワークスペース オブジェクト (フォルダー、ノートブック、実験、モデル)、クラスター、プール、ジョブ、Delta Live Tables パイプライン、アラート、ダッシュボード、クエリ、SQL データウェアハウスにアクセスするための権限を構成できます。 アクセス制御リストを管理できるのは、すべてのワークスペース管理者ユーザーと、アクセス制御リストを管理する権限を委任されたユーザーです。
Azure Databricks を初めて使用するとき、一般的なペルソナをワークスペース レベルのアクセス許可にマップする方法の例が必要な場合は、「Databricks のグループとアクセス許可の使用開始時に関する提案」をご覧ください。
Note
Standard プランから Premium プランにアップグレードすると、ワークスペースのアクセス制御設定は既定で無効になっています。 アクセス制御設定を有効にした後に無効にすることはできません。 詳細については、「アップグレードされたワークスペースでアクセス制御リストを有効にすることができる」を参照してください。
特定のワークスペース レベルのオブジェクトに対するアクセス制御リストについて詳しくは、以下の記事をご覧ください。
- 警告
- クラスター
- Databricks SQL ダッシュボード
- Delta Live Tables
- ファイル
- フォルダー
- ジョブ
- Lakeview ダッシュボード
- MLflow 実験
- MLflow モデル
- Notebooks
- プール
- クエリ
- Repos
- シークレット
- エンドポイントの提供
- SQL ウェアハウス
アカウントのロールベースのアクセス制御
アカウントのロールベースのアクセス制御を使用して、サービス プリンシパルやグループなどのアカウント レベルのオブジェクトを使うためのアクセス許可を構成できます。 アカウントのロールはアカウント内で 1 回定義され、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーは、グループ マネージャーやサービス プリンシパル マネージャーなど、アカウントのロールを管理するための委任されたアクセス許可を付与されたユーザーと同様に、アカウントのロールを管理できます。
特定のアカウント レベルのオブジェクトに対するアカウントのロールについて詳しくは、以下の記事をご覧ください。
データ ガバナンス
Databricks では、Unity Catalog と Delta Sharing を使って、データと AI に対する一元的なガバナンスが提供されます。
- Unity Catalog は、Databricks レイクハウス上のデータと AI に対する粒度の細かいガバナンス ソリューションです。 データ アクセスの管理や監査を行うための一元的な場所を提供することで、データのセキュリティとガバナンスを簡素化するのに役立ちます。
- Delta Sharing は、使用するコンピューティング プラットフォームに関係なく、他の組織や、自組織内の他のチームと安全にデータを共有するために Databricks によって開発されたオープン プロトコルです。
- Databricks Marketplace は、Delta Sharing を使ってデータ製品を交換するためのオープン フォーラムです。
Azure Databricks のデータ ガバナンスに関するベスト プラクティスについては、「Unity Catalog のベスト プラクティス」をご覧ください。
Databricks の管理者ロール
セキュリティ保護可能なオブジェクトに対するアクセス制御に加えて、Azure Databricks プラットフォームには組み込みのロールがあります。 ユーザー、サービス プリンシパル、グループには、ロールを割り当てることができます。
Azure Databricks プラットフォームで使用できる管理者特権には、主に 2 つのレベルがあります。
アカウント管理者: Unity Catalog の有効化、ユーザー プロビジョニング、アカウント レベルの ID 管理など、Azure Databricks アカウントを管理します。
ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、機能を管理します。
さらに、ユーザーには、より狭い権限セットを持つ次の機能固有の管理者ロールを割り当てることができます。
- Marketplace 管理者: Marketplace リストの作成と管理を含む、アカウントの Databricks Marketplace プロバイダー プロファイルを管理します。
- メタストア管理者: Unity Catalog メタストア内のすべてのセキュリティ保護可能なオブジェクトの権限と所有権 (カタログの作成やテーブルのクエリを実行できる人など) を管理します。
ユーザーは、ワークスペース ユーザーとして割り当てることもできます。 ワークスペース ユーザーはワークスペースにログインでき、そこではワークスペース レベルのアクセス許可を付与されることができます。
詳しくは、「管理者ロールの割り当て」をご覧ください。
ワークスペースのエンタイトルメント
エンタイトルメントとは、ユーザー、サービス プリンシパル、またはグループが、指定した方法で Azure Databricks と対話できるようにするプロパティです。 ワークスペース管理者は、ワークスペース レベルでユーザー、サービス プリンシパル、グループにエンタイトルメントを割り当てます。 詳しくは、「エンタイトルメントを割り当てる」をご覧ください。