メインコンテンツまでスキップ

Manage インスタンスプロファイル in Databricks

この記事では、Databricksでアクセスを管理し、インスタンスプロファイルを更新する方法について説明します。

インスタンスプロファイルへのアクセスを管理する

クラスターをデプロイする権限を持つユーザーは、割り当てられたインスタンスプロファイルのいずれかを使用してクラスターをデプロイできます。 クラスターへのアクセス権を持つすべてのユーザーは、インスタンスプロファイルで定義された権限を取得します。 「インスタンスプロファイル」を参照してください。

ウェアハウスSQL、ワークスペースごとに 1 つのインスタンスプロファイルを使用します。「データ アクセス構成」を参照してください。その後 Hive metastore テーブルアクセスコントロールを使用して、きめ細かな権限を設定できます。

注記

Hive metastore テーブルアクセスコントロールは、従来のデータガバナンス モデルです。 Databricks では、そのシンプルさとアカウント中心のガバナンス モデルのために、代わりに Unity Catalog を使用することをお勧めします。 Hive metastoreによって管理されているテーブルをUnity Catalogメタストアにアップグレードできます。

管理者設定ページを使用してインスタンスプロファイルへのアクセスを管理する

  1. ワークスペース管理者として、 設定ページに移動します。

  2. [ インスタンスプロファイル ] タブをクリックします。

  3. 更新するインスタンスプロファイルを選択します。

  4. インスタンスプロファイルの詳細の下にあるドロップダウンで、ユーザー、グループ、またはサービスプリンシパルを選択または入力します:

    ユーザーを追加する

  5. [ 追加 ] をクリックします。

あるいは、インスタンスプロファイルをグループに直接割り当てることもできます。

  1. ワークスペース管理者として、 設定ページに移動します。
  2. [ IDとアクセス ] タブをクリックします。
  3. [グループ] の横にある [管理] をクリックします。
  4. 更新するグループを選択します。
  5. [インスタンスプロファイル] タブで、 [+ Add Instance Profiles to group] をクリックします。
  6. [インスタンスプロファイルの追加] ダイアログで、下矢印をクリックしてインスタンスプロファイルのドロップダウンリストを表示し、追加するものを選択します。
  7. 下矢印をクリックすると、ドロップダウンリストが非表示になります。
  8. [ 追加 ] をクリックします。

API を使用してインスタンスプロファイルへのアクセスを管理する

ワークスペース管理者は、ユーザー、サービスプリンシパル、グループのワークスペースレベルのSCIM APIを使用して、インスタンスプロファイルへのアクセスを管理できます。

たとえば、グループにインスタンスプロファイルへのアクセスを許可するには、次のパターンを使用します。

Bash
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

JSON
{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "add",
          "path": "roles",
          "value": "<instance-profile-role-arn>"
      }
    }
  ]
}

以下のように置き換えてください。

  • <group-id> をグループのIDに置き換えます。
  • <instance-profile-role-arn> をインスタンスプロファイルロールの Amazon リソース名(ARN)に置き換えます(例:arn:aws:iam::123456789012:instance-profile/my-role)。

完全な API リファレンスについては、ワークスペースグループ APIワークスペースユーザー API、およびワークスペースサービスプリンシパル API を参照してください。

インスタンスプロファイルロール ARN の編集

すでに作成したインスタンスプロファイルについては、後で編集できますが、別の IAMロールを指定することしかできません ARN。 この手順は Databricks SQL ロール (ロール ARNプロファイルの最後のスラッシュの後のテキスト ) と インスタンスプロファイル名 (インスタンスプロファイル ARNの最後のスラッシュの後のテキスト ) が一致しないインスタンスプロファイルを操作するために必要です。 関連情報については、 サーバレス & SQLウェアハウスの有効化を参照してください。

  1. 設定ページに移動します。

  2. [セキュリティ ] タブをクリックします。

  3. [インスタンスプロファイル ] の横にある [管理 ] をクリックします。

  4. 編集するインスタンスプロファイルの名前をクリックします。

  5. [ 編集 ] をクリックします。ダイアログが表示されます。

    インスタンスプロファイルロールARNを編集する

    [ IAMロールARN ] フィールドを編集し、インスタンスプロファイルに関連付けられたロールARNを貼り付けます。管理者はこの値をAWSコンソールから取得できます。

  6. [ 保存 ]をクリックします。

最終更新