このページでは、ユーザー、サービス プリンシパル、およびグループの権利を管理する方法について説明します。
エンタイトルメントの概要
エンタイトルメントとは、ユーザー、サービス プリンシパル、またはグループが、指定した方法で Azure Databricks と対話できるようにするプロパティです。 エンタイトルメントは、ワークスペース レベルでユーザーに割り当てられます。 エンタイトルメントは、Premium プランでのみ使用できます。
アクセス権
| 能力 | 消費者アクセス | Databricks SQL アクセス | ワークスペース アクセス |
|---|---|---|---|
| ダッシュボードと Genie スペースの読み取り/実行 | ✓ | ✓ | ✓ |
| BI ツールを使用して SQL ウェアハウスにクエリを実行する | ✓ | ✓ | |
| Databricks SQL オブジェクトの読み取り/書き込み | ✓ | ||
| データ サイエンス オブジェクトとエンジニアリング オブジェクトの読み取り/書き込み | ✓ | ||
| Databricks モザイク AI オブジェクトの読み取り/書き込み | ✓ |
usersグループとadmins グループには、ワークスペース アクセス権と Databricks SQL アクセス権が既定で付与されます。 すべてのワークスペース ユーザーとサービス プリンシパルは、このグループのメンバーです。
コンシューマー アクセス エクスペリエンスを提供するには、users グループにコンシューマー アクセス権のみ、または権利がない必要があります。 これには、 グループ (および グループ (該当する場合) からusers権と account users権を削除し、特定のユーザー、サービス プリンシパル、またはグループに個別に割り当てる必要があります。
Azure Databricks ワークスペースにアクセスするには、ユーザーに少なくとも 1 つのアクセス権が必要です。
コンシューマー アクセスとアカウント ユーザー
前の表は、ワークスペース内のアクセス権をまとめたものです。 次の表は、ワークスペース のメンバーシップを持たないアカウント ユーザーに対する コンシューマー アクセス 権を持つワークスペース ユーザーが使用できる機能を比較したものです。
| 能力 | ワークスペースへのコンシューマー アクセス | ワークスペース メンバーシップのないアカウント ユーザー |
|---|---|---|
| 埋め込み資格情報を使用してダッシュボードを表示する | ✓ | ✓ |
| ビューアーの資格情報を使用してダッシュボードと Genie スペースを表示する | ✓ | |
| 行レベルおよび列レベルのセキュリティを使用してオブジェクトを表示する | ✓ | |
| 制限付きコンシューマー ワークスペース UI へのアクセス | ✓ | |
| BI ツールを使用して SQL ウェアハウスにクエリを実行する | ✓ |
権利を計算する
[無制限のクラスター作成を許可する] と [プールの作成を許可する] エンタイトルメントは、ワークスペース内のコンピューティング リソースをプロビジョニングする機能を制御します。
無制限のクラスター作成を許可すると 、無制限のクラスターを作成するためのアクセス許可がユーザーまたはサービス プリンシパルに付与されます。
プールの作成を許可 すると、グループのメンバーはインスタンス プールを作成できます。
これらの権利は既定では付与されず、ワークスペース管理者から削除することはできません。 管理者設定ページを使用して allow-instance-pool-create のエンタイトルメントを付与することはできません。 代わりに、ワークスペース ユーザー、サービス プリンシパル、または Groups API を使用します。
ユーザーのエンタイトルメントを管理する
ワークスペース管理者は、管理者設定ページからユーザーのエンタイトルメントを追加または削除できます。 また、ワークスペース ユーザー API を使用して追加または削除することもできます。
- ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
- Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
- [ID およびアクセス管理] タブをクリックします。
- [ユーザー] の横にある [管理] をクリックします。
- ユーザー を選択します。
- [エンタイトルメント] タブをクリックします。
- エンタイトルメントを追加するには、対応する列の切り替えをオンにします。
注
users グループには、ワークスペース アクセス権と Databricks SQL アクセス権が既定で付与され、すべてのワークスペース ユーザーとサービス プリンシパルがこのグループのメンバーになります。
コンシューマー アクセス権はより制限が厳しいため、独自に付与するには、ワークスペース アクセス権と Databricks SQL アクセス権をusers グループから削除する必要があります。 その後、ユーザー、サービス プリンシパル、またはグループに権利を個別に割り当てる必要があります。 「 ワークスペース グループを新しいアカウント グループに複製する」を参照してください。
エンタイトルメントを削除するには、同じ手順を実行しますが、代わりに切り替えをオフにします。
エンタイトルメントがグループから継承された場合、エンタイトルメントの切り替えは選択されますが、グレー表示されます。継承されたエンタイトルメントを削除するには、エンタイトルメントを持つグループからユーザーを削除するか、グループからエンタイトルメントを削除します。
サービス プリンシパルのエンタイトルメントを管理する
ワークスペース管理者は、ワークスペース管理者設定ページからサービス プリンシパルのエンタイトルメントを追加または削除できます。 また、ワークスペース サービス プリンシパル API を使用して追加または削除することもできます。
- ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
- Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
- [ID およびアクセス管理] タブをクリックします。
- [サービス プリンシパル] の横にある [管理] をクリックします。
- 更新するサービス プリンシパルを選択します。
- エンタイトルメントを追加するには、[エンタイトルメント] で、対応するチェックボックスをオンにします。
エンタイトルメントを削除するには、同じ手順を実行しますが、代わりにチェックボックスをオフにします。
エンタイトルメントがグループから継承された場合、エンタイトルメントの切り替えは選択されますが、グレー表示されます。継承されたエンタイトルメントを削除するには、エンタイトルメントを持つグループからサービス プリンシパルを削除するか、グループからエンタイトルメントを削除します。
グループのエンタイトルメントを管理する
ワークスペース管理者は、グループがアカウントで作成されたか、ワークスペース ローカルであるかに関係なく、ワークスペース レベルでグループ エンタイトルメントを管理できます。
- ワークスペース管理者として、Azure Databricks ワークスペースにログインします。
- Azure Databricks ワークスペースの上部バーでユーザー名を選択し、[設定] を選択します。
- [ID およびアクセス管理] タブをクリックします。
- [グループ] の横にある [管理] をクリックします。
- 更新するグループを選択します。 更新するには、グループに対するグループ マネージャー ロールが必要です。
- [資格] タブで、グループ内のすべてのユーザーに付与するエンタイトルメントを選択します。
エンタイトルメントを削除するには、同じ手順を実行しますが、代わりに切り替えをオフにします。 グループ メンバーは、個々のユーザーまたは別のグループ メンバーシップを通じてアクセス許可が付与されていない限り、エンタイトルメントを失います。