다음을 통해 공유


AI/BI 관리 가이드

이 문서에서는 AI/BI 제품에 적용할 수 있는 계정 및 작업 영역 수준 관리 컨트롤에 대해 설명합니다.

대시보드 및 Genie 액세스 관리

사용자에게 Azure Databricks 작업 영역과 상호 작용하는 방법을 제어하는 작업 영역 수준에서 권한이 부여됩니다. 각 액세스 유형에 대한 자세한 내용은 권한 관리를 참조하세요.

대시보드 및 지니 공간은 다음 사용자 유형과 안전하게 공유할 수 있습니다.

  • 작업 영역 사용자: 사용 권한은 멤버인 작업 영역으로 범위가 지정됩니다. 여러 작업 영역에 액세스하려면 각 작업 영역에 개별적으로 추가해야 합니다. 해당 액세스는 데이터 자산과 상호 작용하는 방법을 결정하는 자격에 의해 제어됩니다.
    • Databricks SQL 액세스 권한 사용: 사용자는 새 대시보드 및 지니 공간을 만들 수 있습니다. 초안 및 게시된 대시보드를 보고, 편집하고, 관리할 수 있는 액세스 권한을 부여할 수 있습니다. 컴퓨팅 및 Unity 카탈로그 관리 데이터에 대한 액세스 권한을 부여할 수 있습니다.
    • 소비자 액세스 권한: 게시된 대시보드에 대한 액세스 권한을 사용자에게 부여할 수 있습니다. 컴퓨팅 및 Unity 카탈로그 관리 데이터에 대한 액세스 권한을 부여할 수 있습니다. 자세한 내용은 소비자 액세스란?을 참조하세요.
  • 계정 사용자: 포함된 자격 증명을 사용하여 게시된 대시보드에 대한 액세스 권한을 부여할 수 있습니다. 계정 사용자는 Azure Databricks 계정에 등록해야 하지만 추가 리소스에 액세스하거나 작업 영역에 추가할 필요가 없습니다. 계정 사용자는 계정의 모든 작업 영역에서 대시보드 또는 지니 공간의 받는 사람으로 할당될 수 있습니다. 게시된 대시보드 및 포함된 자격 증명에 대한 자세한 내용은 대시보드 공유 를 참조하세요.

권한 관리를 참조하세요.

액세스 유형별 기능

다음 표에는 각 액세스 유형과 연결된 기능이 요약되어 있습니다.

역량 계정 구성원 액세스 소비자 액세스 Databricks SQL 액세스
대시보드 보기/실행
지니 공간 보기/실행
보기에서 행 및 열 수준 보안 적용
BI 도구를 사용하여 SQL 웨어하우스 쿼리
타사 BI 도구를 통해 Unity 카탈로그 관리 데이터에 액세스
AI/BI 대시보드 읽기/쓰기
지니 스페이스 읽기 및 쓰기

비고

계정 사용자가 대시보드 데이터를 볼 수 있도록 하려면 포함된 자격 증명을 사용하여 대시보드를 게시해야 합니다.

네트워크 고려 사항

IP 액세스 목록이 구성되어 있으면 사용자가 VPN을 사용하는 경우와 같이 승인된 IP 범위 내에서 액세스할 때에만 대시보드에 액세스할 수 있습니다. 이는 작업 영역에 할당되었는지 여부에 관계없이 모든 사용자에게 적용됩니다. 액세스 구성에 대한 자세한 내용은 IP 액세스 목록 관리를 참조하세요.

사용자 및 그룹 관리

Azure Databricks에 등록된 모든 사용자는 Azure Databricks 계정에 속합니다. Azure Databricks 계정에 사용자를 등록하면 사용자가 공유 대시보드 또는 Genie 공간을 볼 때 Azure Databricks가 인증에 사용할 수 있는 확인 가능한 ID가 설정됩니다. 개별 사용자를 그룹으로 구성하면 작성자와 편집자가 더 쉽게 공유할 수 있습니다. 예를 들어 작성자는 계정에 속한 사용자에게 개별적으로 공유하는 대신 그룹 이름을 지정해 하나의 그룹과 공유할 수 있습니다.

비고

사용자는 작업 영역 사용자에게만 부여할 수 있는 Genie 공간과 상호 작용할 수 있는 적절한 데이터 및 컴퓨팅 권한이 있어야 합니다.

사용자는 자동 ID 관리(공개 미리 보기)를 사용하여 Microsoft Entra ID의 모든 사용자, 서비스 주체 또는 그룹과 대시보드를 공유할 수도 있습니다. 로그인하면 해당 사용자가 Azure Databricks 계정에 자동으로 추가됩니다. 대시보드의 원래 작업 영역에 추가되지 않습니다. 자세한 내용은 Microsoft Entra ID에서 자동으로 사용자 및 그룹 동기화를 참조하세요.

사용자 및 그룹은 0개, 1개 또는 여러 개의 작업 영역에 액세스할 수 있습니다. 작성자는 대시보드 또는 Genie 공간을 공유할 때 다른 작업 영역 개체와 마찬가지로 액세스 목록이 있는 사용자 에 사용자 및 그룹을 추가하여 특정 권한을 할당할 수 있습니다.

대시보드의 경우 다음 옵션 중 하나를 사용하여 공유 설정을 구성할 수 있습니다.

  • 액세스 권한이 있는 사람만 볼 수 있습니다.
  • 내 계정에 속한 모든 사용자가 볼 수 있습니다.

대시보드가 포함된 자격 증명을 사용하여 게시되고 계정의 특정 사용자, 그룹 또는 모든 사용자와 공유되는 경우 해당 사용자는 원래 작업 영역에 대한 액세스 권한이 있는지 여부에 관계없이 액세스할 수 있습니다.

다음 이미지는 작업 영역 및 계정 수준에서의 사용자 및 그룹 간 관계를 나타냅니다.

대시보드 공유가 있는 계정 수준 SCIM 다이어그램

계정 등록 외에는 추가 구성이 필요하지 않습니다. 사용자에게 작업 영역을 할당하거나 컴퓨팅 리소스에 대한 액세스 권한을 부여할 필요가 없습니다.

대시보드 포함 관리

포함을 사용하면 적어도 CAN EDIT 권한이 있는 대시보드 사용자가 공유 대화 상자를 사용하여 iframe 포함 코드를 생성할 수 있습니다. 작업 영역 관리자는 대시보드 포함 호스팅이 승인된 도메인이 있을 경우 이를 관리할 수 있습니다. 대시보드 포함을 사용하려면 사용자가 타사 쿠키를 사용하도록 설정해야 합니다.

작업 영역 관리자 설정이 '임베드 대시보드' 항목으로 열려 있습니다.

대시보드를 포함할 수 있는 도메인을 정의하는 정책을 설정하려면 다음을 수행합니다.

  1. Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.

  2. 보안을 클릭합니다.

  3. 외부 액세스 섹션까지 아래로 스크롤합니다.

  4. 대시보드 포함 섹션에서 드롭다운 메뉴를 사용하여 작업 영역에 대한 정책을 설정합니다.

    정책 옵션은 세 가지입니다.

    • 허용: 대시보드는 모든 도메인에 포함할 수 있습니다.
    • 승인된 도메인 허용: 대시보드는 승인된 목록과 일치하는 사이트에만 포함할 수 있습니다.
    • 거부: 대시보드는 도메인에 포함할 수 없습니다.

승인된 도메인 허용 선택하는 경우 이 섹션을 사용하여 다음을 수행하여 승인된 도메인 목록을 관리할 수 있습니다.

  1. 대시보드 포함 옆의 관리를 클릭합니다.
  2. 승인된 도메인 대화 상자의 텍스트 필드에 도메인을 입력합니다. 각 항목 뒤 의 도메인 추가 를 클릭합니다.
  3. 저장을 클릭합니다.

비고

Google 사이트에 대시보드를 포함하려면 특정 사이트와 연결된 주소 외에도 Google이 소유하고 사용하는 여러 도메인을 허용해야 합니다. 필수 사이트는 다음과 같습니다.

  • sites.google.com
  • www.gstatic.com
  • *.googleusercontent.com

승인된 도메인 및 경로를 정의하기 위한 팁

허용된 호스트를 지정하려면 W3C의 콘텐츠 보안 정책 설명서에 정의된 문법을 사용합니다. 이 섹션의 예제에서는 몇 가지 일반적인 패턴을 보여 줍니다.

하위 도메인 허용

지정된 도메인에 대한 모든 하위 도메인을 허용하려면 도메인 이름 앞에 와일드카드 기호(*)를 사용합니다. 다음 예제에서는 *.databricks.com 샘플 도메인으로 사용합니다.

  • 매칭: 모든 하위 도메인
    • some.databricks.com
    • app.databricks.com
    • anything.databricks.com
  • 일치하지 않습니다. 다른 도메인이 있는 모든 항목
    • another-databricks.com
    • app-databricks.com

특정 URL 경로 허용

기본 URL 아래의 모든 페이지를 허용하려면 후행 슬래시(/)를 사용하여 루트 디렉터리를 나타냅니다. 하위 디렉터리 및 추가 경로가 일치하도록 설정됩니다.

다음 예제에서는 sites.google.com/some/path/ 샘플 제공 경로로 사용합니다.

  • 매치:sites.google.com/some/path/to/my/dashboardsites.google.com/some/path/any-page.
  • 일치하지 않습니다.
    • sites.google.com/some/path; 이 예제에서는 후행 슬래시가 없으므로 다른 URL도 마찬가지입니다.
    • sites.google.com/some/other/path/to/my/dashboard; 이 예제에서는 동일한 기본 경로를 공유하지 않습니다.

비고

후행 슬래시가 없는 URL은 정확한 일치 항목으로 처리되고 하위 경로를 생략합니다.

작업 영역 관리자 구독 컨트롤

작업 영역 관리자는 사용자가 구독 기능을 사용하여 대시보드를 배포할 수 없도록 설정할 수 있습니다. 이 설정을 변경하면 모든 사용자가 예약된 대시보드에 이메일 구독자를 추가할 수 없습니다. 대시보드 편집자는 구독자를 추가할 수 없으며 대시보드 열람자에게는 예약된 대시보드를 구독할 수 있는 옵션이 제공되지 않습니다.

이메일 업데이트를 공유하지 않으려면 다음을 수행합니다.

  1. Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
  2. 설정 사이드바에서 알림을 클릭합니다.
  3. 대시보드 전자 메일 구독 사용 옵션을 끕니다.

이 설정이 해제되어 있으면 기존 구독은 일시 중지되며 아무도 기존 구독 목록을 수정할 수 없습니다. 이 설정을 다시 켜면 기존 목록을 사용하여 구독을 다시 시작합니다.

컨트롤 다운로드

작업 영역 관리자는 다음 단계를 사용하여 사용자가 대시보드 및 Genie 공간 결과를 다운로드하지 못하도록 보안 설정을 조정할 수 있습니다.

  1. Azure Databricks 작업 영역의 상단 표시줄에서 사용자 이름을 클릭하고 설정을 선택합니다.
  2. 설정 사이드바에서 보안을 클릭합니다.
  3. SQL 결과 다운로드 옵션을 끕니다.

대시보드의 소유권 이전

작업 영역 관리자는 대시보드의 소유권을 다른 사용자에게 이전할 수 있습니다.

  1. 대시보드 목록으로 이동합니다. 대시보드 이름을 클릭하여 편집합니다.
  2. 공유를 클릭합니다.
  3. 기어 아이콘 을 클릭합니다. 공유 대화 상자의 오른쪽 위에 있는 아이콘입니다. 기어 아이콘을 사용하여 대화 상자 공유
  4. 새 소유자를 검색하고 선택할 사용자 이름을 입력하기 시작합니다.
  5. 확인을 클릭합니다.

새 소유자가 사용 권한을 관리할 수 있는 공유 대화 상자에 나타납니다. 소유자별로 나열된 대시보드를 보려면 대시보드 아이콘을 클릭하여대시보드의 사용 가능한 대시보드 목록으로 이동하십시오.

AI/BI 활동 모니터링

관리자는 감사 로그를 사용하여 대시보드 및 지니 공간에서 활동을 모니터링할 수 있습니다. AI/BI 대시보드 이벤트AI/BI Genie 이벤트를 참조하세요. 일반적인 질문에 대답하기 위해 감사 로그 정보에 액세스하는 방법을 보여주는 코드 예제는 감사 로그 및 경고를 사용하여 AI/BI 사용 모니터링을 참조하세요.