メインコンテンツまでスキップ

グループの管理

この記事では、管理者が Databricks グループを作成および管理する方法について説明します。 Databricks ID モデルの概要については、「 Databricks ID」を参照してください。

グループのアクセスを管理するには、「 認証とアクセス制御」を参照してください。

グループ経営の概要

グループは、ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのアクセスの割り当てを容易にすることで、アイデンティティ管理を簡素化します。すべてのDatabricks アイデンティティをグループのメンバーとして割り当てることができます。

Databricks のグループの種類

Databricks には 4 種類のグループがあり、ソースに基づいて分類されています。

  • アカウント グループ には、 Unity Catalog メタストア内のデータへのアクセス、サービスプリンシパルとグループに対するロール、 およびフェデレーション ワークスペースの ID に対するアクセス許可を付与できます。

  • ワークスペース-local グループは 、作成されたワークスペースのコンテキストでのみ使用できるレガシ グループです。 これらのグループを他のワークスペースに割り当てたり、Unity Catalog メタストア内のデータへのアクセスを許可したり、アカウント レベルのロールを付与したりすることはできません。 Databricks では、既存のワークスペース ローカル グループをアカウント グループに変換することをお勧めします。 ワークスペース-local グループの詳細については、「 ワークスペース-local グループ (legacy) の管理」を参照してください。

  • 外部グループは 、ID プロバイダーから Databricks で作成されるグループです。 これらのグループは、SCIM プロビジョニング コネクタを使用して作成され、ID プロバイダーと同期された状態が維持されます。 デフォルトでは、外部グループのメンバーシップは、 Databricks アカウントコンソールまたはワークスペース管理設定ページから更新することはできません。 外部グループはアカウントグループです。

注記

Databricks UI から外部グループ メンバーシップを更新するには、アカウント管理者がアカウント コンソールのプレビュー ページで Immutable external グループ プレビュー を無効にすることができます。

  • システム グループは 、Databricks によって作成および保守されます。 各アカウントには、すべてのユーザーを含む account usersというアカウント システム グループがあります。 各ワークスペースには、 usersadminsの 2 つのワークスペース レベルのシステム グループがあります。 ワークスペースのすべてのメンバーは users グループに属し、ワークスペース管理者も admins グループのメンバーです。 システムグループは削除できません。

アカウントグループを管理できるのは誰ですか?

Databricksでアカウントグループを作成するには、アカウント管理者またはワークスペース管理者である必要があります。ワークスペース管理者がアカウントグループを作成するには、IDフェデレーションワークスペースに属している必要があります。

Databricksでアカウント グループを管理するには、グループ に対するグループ マネージャー ロール (パブリック プレビュー) が必要です。グループ マネージャーは、グループのメンバーシップを管理し、グループを削除できます。 また、他のユーザーにグループマネージャーロールを割り当てることもできます。 アカウント 管理者は アカウント コンソールを使用してグループの役割を管理でき、ワークスペース管理者は ワークスペース管理者設定ページを使用してグループの役割を管理できます。 ワークスペース管理者ではないグループ マネージャーは、 アカウント アクセス制御 APIを使用してグループの役割を管理できます。

アカウント管理者はアカウントレベルのグループ管理者ロールを持ちます。これは、アカウント内の全てのグループのグループ管理者ロールを持つことを意味します。ワークスペース管理者は、作成したアカウントグループに対しグループマネージャーのロールを持ちます。

ワークスペース管理者は、 ワークスペース-ローカル グループを作成および管理することもできます。

ID プロバイダーから Databricks アカウントにグループを同期する

SCIM プロビジョニング コネクタを使用して、ID プロバイダー (IdP) から Databricks アカウントにグループを同期できます。 手順については、「 ユーザーとグループを Databricks アカウントに同期する」を参照してください。

important

ID をワークスペースに直接同期する SCIM コネクタが既にある場合は、アカウント レベルの SCIM コネクタが有効になっているときに、それらの SCIM コネクタを無効にする必要があります。 「ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。

アカウントコンソールを使用してアカウントグループを管理する

アカウント 管理者は、Databricksアカウント コンソール を使用して、 アカウントのグループ を追加および管理できます。ワークスペース管理者とグループ マネージャーは、ワークスペース設定ページと Databricks APIsを使用してグループを管理できます。 「ワークスペース管理設定ページを使用したアカウントグループの管理」および「API を使用したアカウントグループの管理」を参照してください。

アカウントコンソールを使用してアカウントにグループを追加する

アカウントコンソールを使用してアカウントにグループを追加するには、次の手順を実行します。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ] タブで、[ グループの追加 ] をクリックします。
  4. グループの名前を入力します。
  5. 確認 をクリックします。
  6. プロンプトが表示されたら、ユーザー、サービスプリンシパル、およびグループをグループに追加します。

アカウントコンソールを使用してグループにメンバーを追加する

外部グループを ID プロバイダと同期させるために、デフォルトではアカウントコンソールで外部グループのメンバーシップを管理することはできません。 アカウントコンソールを使用して、ユーザー、サービスプリンシパル、およびグループをグループに追加するには、次の操作を行います。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ] タブで、更新するグループを選択します。
  4. [ メンバーを追加 ]をクリックします。
  5. 追加したいユーザー、グループ、サービスプリンシパルを検索し、選択します。
  6. [ 追加 ] をクリックします。

アカウントからグループを更新してから、ワークスペースでグループが更新されるまでには数分の遅延があります。

アカウントコンソールを使用してグループの役割を管理する

備考

プレビュー

この機能は パブリック プレビュー段階です。

アカウント管理者は、アカウントコンソールでアカウントグループにロールを付与できます。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ]タブで、グループ名を見つけてクリックします。
  4. 権限 」タブをクリックします。
  5. [ アクセス権を付与 ] をクリックします。
  6. ユーザー、サービスプリンシパル、またはグループを検索して選択し、 グループ:マネージャー ロールを選択します。
  7. [ 保存 ]をクリックします。

グループの名前を変更する

外部グループを ID プロバイダーと同期させるために、デフォルトではアカウントコンソールで外部グループの名前を更新することはできません。 アカウント 管理者は、アカウント コンソールを使用してアカウント グループの名前を更新できます。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ] タブで、更新するグループを選択します。
  4. [ グループ情報 ]をクリックします。
  5. [ 名前 ]で名前を更新します。
  6. [ 保存 ]をクリックします。

グループ管理者は、アカウントコンソールを使用してグループ名を変更することはできません。代わりに、アカウントグループAPIを使用してください。例えば:

Bash
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

JSON
{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

アカウント グループ APIへの認証方法については、「Databricks リソースへのアクセスを許可する」を参照してください。

アカウントコンソールを使用してワークスペースにグループを割り当てる

アカウントコンソールを使用してワークスペースにグループを追加するには、ワークスペースで ID フェデレーションが有効になっている必要があります。ワークスペースに割り当てることができるのは、アカウント グループのみです。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、「 ワークスペース 」をクリックします。
  3. ワークスペース名をクリックします。
  4. [ 権限 ] タブで、[ 権限を追加 ] をクリックします。
  5. グループを検索して選択し、権限レベル(ワークスペース ユーザー または 管理者 )を割り当て、 [保存] をクリックします。

アカウントコンソールを使用してワークスペースからグループを削除する

アカウントコンソールを使用してワークスペースにグループを削除するには、ワークスペースで ID フェデレーションが有効になっている必要があります。アカウント コンソールを使用してワークスペースから削除できるのは、アカウント グループのみです。

アカウント グループがワークスペースから削除されると、グループ メンバーはワークスペースにアクセスできなくなりますが、グループに対する権限は維持されます。 グループが後でワークスペースに再度追加された場合、グループは以前の権限を取り戻します。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、「 ワークスペース 」をクリックします。
  3. ワークスペース名をクリックします。
  4. [アクセス許可 ] タブで、グループを見つけます。
  5. グループ行の右端にある ケバブメニュー ケバブメニューをクリックし、「 削除 」を選択します。
  6. 確認ダイアログで、 削除の確認 をクリックします。

アカウント管理者の役割をグループに割り当てる

アカウントコンソールを使用してアカウント管理者またはマーケットプレイス管理者ロールをグループに割り当てることはできませんが、アカウントグループAPIを使用してグループに割り当てることはできます。例えば:

Bash
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

JSON
{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

アカウント グループ APIへの認証方法については、「Databricks リソースへのアクセスを許可する」を参照してください。

Databricks アカウントからグループを削除する

アカウント 管理者は、 Databricks アカウントからグループ を削除できます。 グループ マネージャーは、 アカウント グループ APIを使用してアカウントからグループ を削除することもできます (「APIを使用してアカウント グループを管理する」を参照してください。

important

グループを削除すると、そのグループに所属するすべてのユーザーがアカウントから削除され、それまでアクセスできていたワークスペースへのアクセス権を失います(別のグループのメンバーであるか、アカウントまたはワークスペースへのアクセス権が直接付与されている場合を除く)。アカウント内のすべてのワークスペースにアクセスできなくする場合を除き、サービスプリンシパルのアカウントレベルの削除は避けることを推奨します。ユーザーを削除すると次のような影響が生じることに注意してください。

  • このユーザーによって生成されたトークンを使うアプリケーションまたはスクリプトはDatabricks APIにアクセスできなくなります。
  • ユーザーが所有するジョブは失敗になります。
  • ユーザーが所有するクラスターが停止します。
  • このユーザーによって作成された、[所有者として実行] 資格情報を使用して共有されているクエリーまたはダッシュボードは、共有が失敗しないように新しい所有者に割り当てる必要があります。

アカウントコンソールを使ってグループを削除するには、次の手順を実行します。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ] タブで、削除するグループを選択します。
  4. ユーザー行の右端にあるケバブメニューケバブメニューをクリックし、[ 削除 ]を選択します。
  5. 確認ダイアログボックスで、[ 削除を確認 ] をクリックします。

アカウントコンソールを使用してグループを削除する場合は、アカウントに設定されている SCIM プロビジョニングコネクタまたは SCIM API アプリケーションを使用してグループも削除する必要があります。 そうしないと、SCIM プロビジョニングは、次回の同期時にグループとそのメンバーを再び追加するだけです。 「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

を使用してDatabricks アカウントからグループを削除するには、「API ユーザーとグループをDatabricks アカウント およびアカウント グループAPI に同期する」を参照してください。

ワークスペースの管理者設定ページを使用してアカウントグループを管理する

ワークスペース管理者は、ワークスペース管理設定ページを使用して、IDフェデレーションワークスペースでアカウントグループを作成および管理できます。

注記

ワークスペースからアカウントグループを更新してから、アカウントでグループが更新されるまでには数分の遅延があります。

ワークスペースでワークスペース-local グループ を作成する方法については、「 ワークスペース-local グループ (レガシ) の管理」を参照してください。

ワークスペース管理者設定ページを使用して、ワークスペースにグループを作成または割り当てる

ワークスペース管理者設定ページを使用してワークスペースにアカウントグループを割り当てる、または作成するには、次の手順を実行します。

  1. ワークスペース管理者として、Databrickワークスペースにログインします。

  2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。

  3. [ IDとアクセス ] タブをクリックします。

  4. [グループ] の横にある [管理] をクリックします。

  5. [ グループを追加 ]をクリックします。

  6. ワークスペースに割り当てる既存のグループを選択するか、[ 新規追加 ] をクリックして新しいアカウント グループを作成します。

注記

ワークスペースで ID フェデレーションが有効になっていない場合、既存のアカウント グループを割り当てたり、ワークスペースにアカウント作成グループを追加したりすることはできません。 代わりに、ワークスペース ローカル グループを使用する必要があります (「 ワークスペース ローカル グループの管理(レガシー)」)。

ワークスペースの管理者設定ページを使用してグループにメンバーを追加する

ワークスペース管理者設定ページを使用して、ユーザー、サービスプリンシパル、およびグループをアカウント グループに追加するには、ワークスペース管理者である必要があります。 管理できるのは、グループマネージャーの役割を持つグループのメンバーのみです。 外部グループを ID プロバイダーと同期させるために、デフォルトではワークスペース管理者設定ページで外部グループのメンバーシップを管理することはできません。

注記

子グループを admins グループに追加することはできません。 ワークスペース・ローカル・グループまたはシステム・グループをアカウント・グループのメンバーとして追加することはできません。

ワークスペース管理者ではないグループ マネージャーは、アカウント グループ APIを使用してグループ メンバーシップを管理する必要があります。

  1. ワークスペース管理者として、Databrickワークスペースにログインします。
  2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
  3. [ IDとアクセス ] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。
  6. [ メンバー ] タブで、[ メンバーの追加 ] をクリックします。
  7. ダイアログで、追加したいユーザー、サービスプリンシパル、グループを参照または検索し、選択します。
  8. 確認 をクリックします。

ワークスペースの管理者設定ページを使用してアカウントグループのロールを管理する

備考

プレビュー

この機能は パブリック プレビュー段階です。

ユーザ、アカウントグループ、サービスプリンシパルに グループマネージャー ロールを割り当てることができます。グループマネージャーはグループのメンバーシップを管理できます。また、グループマネージャーロールを他のユーザーに割り当てることもできます。

ワークスペース管理者の設定ページを使用してグループのロールを管理するには、ワークスペース管理者である必要があります。ワークスペース管理者ではないグループマネージャーは、 アカウントアクセスコントロールAPIを使用してグループのロールを管理できます。

  1. ワークスペース管理者として、Databrickワークスペースにログインします。

  2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。

  3. [ IDとアクセス ] タブをクリックします。

  4. [グループ] の横にある [管理] をクリックします。

  5. 更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。

  6. 権限 」タブをクリックします。

  7. [ アクセス権を付与 ] をクリックします。

  8. ユーザー、サービスプリンシパル、またはグループを検索して選択し、 グループ:マネージャー ロールを選択します。

注記

アカウント グループには、ワークスペース ローカル グループまたはシステム グループの役割を割り当てることはできません。

  1. [ 保存 ]をクリックします。

親グループの表示

  1. ワークスペース管理者として、Databrickワークスペースにログインします。
  2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
  3. [ IDとアクセス ] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 表示するグループを選択します。
  6. [親グループ ] タブで、グループの親グループを表示します。

ワークスペース管理設定ページを使用してワークスペースからグループを削除する

ワークスペースからグループを削除しても、アカウント内のグループは削除されません。 ワークスペースからグループを削除すると、グループ メンバーはワークスペースにアクセスできなくなりますが、グループに対する権限は維持されます。 グループが後でワークスペースに再度追加されると、グループは以前の権限を取り戻します。

  1. ワークスペース管理者として、Databrickワークスペースにログインします。
  2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
  3. [ IDとアクセス ] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. グループを選択し、[ x 削除 ] をクリックします
  6. [ 削除 ] をクリックして確定します。

API を使用してアカウント グループを管理する

アカウント管理者、ワークスペース管理者、およびグループマネージャーは、アカウントグループAPIを使用して、Databricksアカウント内のグループを追加、削除、管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります。

  • アカウント管理者は{account-domain}/api/2.1/accounts/{account_id}/scim/v2/を使用します。
  • ワークスペース管理者とグループマネージャーは{workspace-domain}/api/2.0/account/scim/v2/を使用します。

詳細については、「アカウントグループAPI」を参照してください。

API を使用してワークスペースにグループを割り当てる

アカウント管理者とワークスペース管理者は、ワークスペース割り当てAPIを使用して、IDフェデレーションが有効になっているワークスペースにグループを割り当てることができます。ワークスペース割り当てAPIは、Databricksアカウントとワークスペースを介してサポートされます。

  • アカウント管理者は{account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignmentsを使用します。
  • ワークスペース管理者は{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}を使用します。

ワークスペース割り当てAPI」を参照してください。

API を使用してグループの役割を管理する

備考

プレビュー

この機能は パブリック プレビュー段階です。

グループ管理者は、アカウントアクセスコントロールAPIを使用してグループのロールを管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります。

  • アカウント管理者は{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-rolesを使用します。
  • ワークスペース管理者とグループマネージャーは{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-rolesを使用します。

アカウントアクセスコントロールAPI、およびアカウントアクセスコントロールワークスペースプロキシAPI を参照してください。

最終更新