この記事では、Azure Databricks 個人用アクセス トークンのアクセス許可を構成する方法について説明します。 資格情報を使用して Azure Databricks に対する認証を行う方法については、「 Azure Databricks リソースへのアクセスを承認する」を参照してください。 個人用アクセス トークンを監視および取り消すには、「 Monitor」を参照し、個人用アクセス トークンを取り消します。
個人用アクセス トークン アクセス許可
ワークスペース管理者は、個人用アクセス トークンにアクセス許可を設定して、どのユーザー、サービス プリンシパル、グループがトークンを作成および使用できるかを制御できます。 トークンのアクセス制御を使うには、Azure Databricks ワークスペース管理者がワークスペースに対してアクセス制御を有効にする必要があります。 「ワークスペースの個人アクセス トークン認証を有効または無効にする」をご覧ください。
ワークスペース ユーザーは、以下のトークン アクセス許可のいずれかを持つことができます。
- アクセス許可なし: ユーザーは、Azure Databricks ワークスペースに対する認証を行うための個人用アクセス トークンを、作成することも使うこともできません。
- 使用可能: ユーザーは個人用アクセス トークンを作成し、それを使ってワークスペースへの認証を行うことができます。
- CAN MANAGE (ワークスペース管理者のみ):** ユーザーは、すべてのワークスペース ユーザーの個人用アクセス トークンと、それらを使用するためのアクセス許可を管理できます。 ワークスペース
adminsグループのユーザーは、既定でこのアクセス許可を持っており、それを取り消すことはできません。 他のユーザー、サービス プリンシパル、またはグループには、このアクセス許可を付与できません。
Azure Databricks の個人用アクセス トークンのアクセス許可は、 Premium プランでのみ使用できます。
次の表に、トークン関連の各タスクに必要なアクセス許可を示します。
| タスク | アクセス許可なし | 使用可能 | 管理可能 |
|---|---|---|---|
| トークンを作成する | x | x | |
| 認証にトークンを使用する | x | x | |
| 自分用のトークンを取り消す | x | x | |
| ユーザーまたはサービス プリンシパルのトークンを取り消す | x | ||
| すべてのトークンを一覧表示する | x | ||
| トークンのアクセス許可を変更する | x |
管理者設定ページを使用してトークン アクセス許可を管理する
このセクションでは、ワークスペース UI を使用してアクセス許可を管理する方法について説明します。 Permissions API または Databricks Terraform プロバイダー を使用することもできます。
[設定] ページに移動します。
[詳細設定] タブをクリックします。
[個人用アクセス トークン] の横にある [アクセス許可] ボタンをクリックして、トークン アクセス許可エディターを開きます。
ユーザー、サービス プリンシパル、またはグループを検索して選択し、割り当てるアクセス許可を選択します。
usersグループが "使用可能" アクセス許可を持っていて、管理者以外のユーザーに、よりきめ細かなアクセスを適用する場合は、users行のアクセス許可ドロップダウン メニューの横にある [X] をクリックして、 グループから "使用可能" アクセス許可を削除します。[+ 追加] をクリックします。
[保存] をクリックします。
警告
変更を保存した後、以前に CAN USE または CAN MANAGE のアクセス許可を持っていて、これらの権限が直接取り消されたためにいずれかのアクセス許可を持っていないユーザーは、個人用アクセス トークン認証へのアクセスが拒否され、アクティブなトークンはすぐに削除 (取り消されます) されます。 ユーザーが間接的にアクセスを失った場合 (たとえば、アクセス許可を付与するグループから削除された場合)、トークンは取り消されませんが、使用できなくなります。 ユーザーが必要なアクセス許可を持つグループに後で再追加されると、同じトークンが再び使用できるようになります。 削除されたトークンを取り戻すことはできません。