認証とアクセス制御
この記事では、Azure Databricks での認証とアクセス制御について説明します。 データへのアクセスのセキュリティ保護の詳細については、「Unity Catalog を使用したデータ ガバナンス」を参照してください。
Azure Databricks でユーザーとグループを最も効果的に構成する方法については、「ID のベスト プラクティス」を参照してください。
シングル サインオン
Microsoft Entra ID (旧称 Azure Active Directory) を利用したログイン形式であるシングル サインオンは、既定で Azure Databricks アカウントおよびワークスペースで利用できます。 アカウント コンソールおよびワークスペースの両方で Microsoft Entra ID シングル サインオンを使用します。 Microsoft Entra ID を使用して多要素認証を有効にすることができます。
Azure Databricks では、Microsoft Entra ID 条件付きアクセスもサポートされています。これにより、ユーザーが Azure Databricks へのサインインを許可される場所やタイミングを管理者が制御することができます。 「条件付きアクセス」を参照してください。
SCIM プロビジョニングを使用して Microsoft Entra ID からユーザーとグループを同期する
ユーザー プロビジョニングを自動化できるオープン標準である SCIM (クロスドメイン ID 管理システム) を使用して、Microsoft Entra ID から Azure Databricks アカウントにユーザーとグループを自動的に同期できます。 Microsoft Entra ID を使って Azure Databricks にユーザーとグループを作成し、適切なレベルのアクセス権を付与すると、SCIM によって新しい従業員またはチームのオンボードを効率化することができます。 ユーザーが組織を離れた場合、または Azure Databricks へのアクセスが不要になった場合、管理者は Microsoft Entra ID でそのユーザーを終了とすることができます。そのユーザーのアカウントは Azure Databricks からも削除されます。 こうすることで、一貫したオフボード プロセスを実現し、権限のないユーザーによる機密データへのアクセスを防ぎます。 詳細については、「Microsoft Entra ID からユーザーとグループを同期する」を参照してください。
安全な API 認証
Azure Databricks 個人用アクセス トークンは、Azure Databricks ワークスペース レベルのリソースと操作に対して最も広くサポートされている種類の資格情報の 1 つです。 API 認証をセキュリティで保護するために、ワークスペース管理者は、Azure Databricks 個人用アクセス トークンを作成して使用できるユーザー、サービス プリンシパル、グループを制御できます。
詳細については、「Azure Databricks 自動化へのアクセスを管理する」を参照してください。
ワークスペース管理者は、Azure Databricks 個人用アクセス トークンを確認したり、トークンを削除したり、ワークスペースに新しいトークンの最長有効期間を設定したりできます。 「個人用アクセス トークンの監視と管理」を参照してください。
Azure Databricks 自動化に対する認証の詳細については、「Azure Databricks 自動化の認証 - 概要」を参照してください。
アクセス制御の概要
Azure Databricks では、セキュリティ保護可能なオブジェクトが異なると、使われるアクセス制御システムも異なります。 次の表は、セキュリティ保護可能なオブジェクトの種類ごとに、それを管理するアクセス制御システムを示したものです。
| セキュリティ保護可能なオブジェクト | アクセス制御システム |
|---|---|
| ワークスペース レベルのセキュリティ保護可能なオブジェクト | アクセス制御リスト |
| アカウント レベルのセキュリティ保護可能なオブジェクト | アカウントのロールベースのアクセス制御 |
| データのセキュリティ保護可能なオブジェクト | Unity Catalog |
Azure Databricks には、ユーザー、サービス プリンシパル、グループに直接割り当てられる管理者ロールとエンタイトルメントも用意されています。
データのセキュリティ保護の詳細については、「Unity Catalog を使用したデータ ガバナンス」を参照してください。
アクセス制御リスト
Azure Databricks では、アクセス制御リスト (ACL) を使用して、ノートブックや SQL Warehouse などのワークスペースのオブジェクトにアクセスするためのアクセス許可を構成できます。 アクセス制御リストを管理できるのは、すべてのワークスペース管理者ユーザーと、アクセス制御リストを管理する権限を委任されたユーザーです。 アクセス制御リストの詳細については、「アクセス制御リスト」を参照してください。
アカウントのロールベースのアクセス制御
アカウントのロールベースのアクセス制御を使用して、サービス プリンシパルやグループなどのアカウント レベルのオブジェクトを使うためのアクセス許可を構成できます。 アカウントのロールはアカウント内で 1 回定義され、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーは、グループ マネージャーやサービス プリンシパル マネージャーなど、アカウントのロールを管理するための委任されたアクセス許可を付与されたユーザーと同様に、アカウントのロールを管理できます。
特定のアカウント レベルのオブジェクトに対するアカウントのロールについて詳しくは、以下の記事をご覧ください。
Databricks の管理者ロール
セキュリティ保護可能なオブジェクトに対するアクセス制御に加えて、Azure Databricks プラットフォームには組み込みのロールがあります。 ユーザー、サービス プリンシパル、グループには、ロールを割り当てることができます。
Azure Databricks プラットフォームで使用できる管理者特権には、主に 2 つのレベルがあります。
アカウント管理者: Unity Catalog の有効化、ユーザー プロビジョニング、アカウント レベルの ID 管理など、Azure Databricks アカウントを管理します。
ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、機能を管理します。
さらに、ユーザーには、より狭い権限セットを持つ次の機能固有の管理者ロールを割り当てることができます。
- Marketplace 管理者: Marketplace リストの作成と管理を含む、アカウントの Databricks Marketplace プロバイダー プロファイルを管理します。
- メタストア管理者: Unity Catalog メタストア内のすべてのセキュリティ保護可能なオブジェクトの権限と所有権 (カタログの作成やテーブルのクエリを実行できる人など) を管理します。
ユーザーは、ワークスペース ユーザーとして割り当てることもできます。 ワークスペース ユーザーはワークスペースにログインでき、そこではワークスペース レベルのアクセス許可を付与されることができます。
詳細については、「シングル サインオン (SSO) を設定する」を参照してください。
ワークスペースのエンタイトルメント
エンタイトルメントとは、ユーザー、サービス プリンシパル、またはグループが、指定した方法で Azure Databricks と対話できるようにするプロパティです。 ワークスペース管理者は、ワークスペース レベルでユーザー、サービス プリンシパル、グループにエンタイトルメントを割り当てます。 詳細については、「エンタイトルメントを管理する」を参照してください。