メインコンテンツまでスキップ

AI/BI管理ガイド

この記事では、AI/BI 製品に適用できるアカウント レベルとワークスペース レベルの管理制御について説明します。

ダッシュボードとGenieアクセスの管理

ユーザーには、Databricks ワークスペースとの対話方法を制御するワークスペース レベルでのエンタイトルメントが付与されます。各アクセスタイプの詳細については 、「エンタイトルメントの管理 」を参照してください。

ダッシュボードと精霊スペースは、次のユーザー タイプと安全に共有できます。

  • ワークスペース ユーザー : アクセス許可のスコープは、メンバーであるワークスペースに限定されます。 複数のワークスペースにアクセスするには、各ワークスペースに個別に追加する必要があります。 アクセスは、データ資産との対話方法を決定する権限によって制御されます。

    • Databricks SQLアクセス 権限がある場合: ユーザーは新しいダッシュボードを作成し、 Genie spaces.下書きダッシュボードと公開済みダッシュボードを表示、編集、管理するためのアクセス権を付与できます。コンピュートおよび Unity Catalog 管理データへのアクセスを許可できます。
    • コンシューマー アクセス 権限がある場合: ユーザーには、公開されたダッシュボードへのアクセス権を付与できます。コンピュートおよび Unity Catalog 管理データへのアクセスを許可できます。 詳細については、「 コンシューマー アクセスとは」を参照してください。

  • アカウント ユーザー : 資格情報が埋め込まれた公開済みダッシュボードへのアクセス権を付与できます。アカウント ユーザーは Databricks アカウントに登録する必要がありますが、追加のリソースにアクセスしたり、ワークスペースに追加したりする必要はありません。 アカウント ユーザーは、ダッシュボードの受信者として割り当てたり、アカウント内の任意のワークスペース全体で Genie spaces したりできます。 公開されたダッシュボードと埋め込まれた資格情報の詳細については、「 ダッシュボードの共有 」を参照してください。

「エンタイトルメントの管理」を参照してください。

アクセスの種類別の機能

次の表は、各アクセスの種類に関連付けられている機能をまとめたものです。

機能

アカウントメンバーへのアクセス

コンシューマーアクセス

Databricks SQLへのアクセス

ダッシュボードの表示/実行

表示/実行 Genie spaces

ビューでの行レベルと列レベルのセキュリティの適用

SQLツールを使用したウェアハウス クエリBI

Unity Catalog で管理されたデータにサードパーティの BI ツールでアクセス

AI/BI ダッシュボードの読み取り/書き込み

読み取り/書き込み Genie spaces

注記

アカウント ユーザーがダッシュボード データを表示できるようにするには、ダッシュボードを埋め込み資格情報で公開する必要があります。

ネットワークに関する考慮事項

IPアクセスリストが設定されている場合、ダッシュボードにアクセスできるのは、VPNを使用する場合など、ユーザーが承認されたIP範囲内からダッシュボードにアクセスする場合のみです。これは、ワークスペースに割り当てられているかどうかに関係なく、すべてのユーザーに適用されます。アクセスの構成の詳細については、「 IP アクセス リストの管理」を参照してください。

ユーザーとグループの管理

Databricks に登録されているすべてのユーザーは、Databricks アカウントに属しています。Databricksアカウントのユーザーは、そのユーザーが共有ダッシュボードまたはDatabricks Genieスペースを表示するときに認証に使用できる検証可能なIDを確立し 。個々のユーザーをグループに整理すると、作成者と編集者が共有しやすくなります。たとえば、作成者は、アカウント内の各ユーザーと共有するのではなく、1 つの名前付きグループと共有できます。

注記

ユーザーは、ワークスペース ユーザーのみに付与できる Genieスペースを操作するために、適切なデータとコンピュート特権を持っている必要があります。

important

ダッシュボード アカウントレベルの共有は、Eメール とワンタイム パスコード認証、シングル サインオン (SSOによる統合ログイン) をサポートします。 受信者がワンタイム パスコード ログインを使用しているときにダッシュボードが共有され、後でアカウントが統合ログインを使用して SSO 用に構成されている場合、アカウント管理者は、ダッシュボードの受信者が ID プロバイダー構成を使用して Databricks アカウントにアクセスできることを確認する必要があります。SSOを使用してログインすることが許可されていないユーザーは、以前に共有されていたダッシュボードにアクセスできなくなります。

ユーザーとグループは、0 個、1 個、または複数のワークスペースにアクセスできます。作成者は、ダッシュボードまたはスペースを共有するときに、他のワークスペースオブジェクトと同様に、ユーザーとグループを[アクセス権を持つユーザー]Genie リストに追加して特定の権限を割り当てることができます。

ダッシュボードの場合、次のいずれかのオプションを使用して 共有設定 を構成できます。

  • アクセス権を持つユーザーのみが閲覧できます
  • アカウント内の誰でも閲覧可

ダッシュボードが埋め込み資格情報で公開され、アカウント内の特定のユーザー、グループ、またはすべてのユーザーと共有されている場合、それらのユーザーは、元のワークスペースへのアクセス権があるかどうかに関係なく、ダッシュボードにアクセスできます。

次の図は、ワークスペース レベルとアカウント レベルでのユーザーとグループの関係を示しています。

ダッシュボード共有付きのアカウント レベルの SCIM ダイアグラム

Databricks では、アカウント管理者がアカウント レベルの SCIM プロビジョニングを使用して、すべてのユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期することをお勧めします。Databricks アカウントで ID を設定するときに、これらのユーザーとグループを手動で登録することもできます。これにより、作成者がダッシュボードを共有しようとする前に、その受信者を適格な受信者として含めることができます。「すべての ID プロバイダー ユーザーが Databricks にアクセスできるようにする」を参照してください。

アカウント登録以外に追加の設定は必要ありません。ユーザーをワークスペースに割り当てたり、コンピュート リソースへのアクセス権を付与したりする必要はありません。

ダッシュボードの埋め込みを管理する

埋め込みにより、少なくとも CAN EDIT 権限を持つダッシュボード ユーザーは、 共有 ダイアログを使用して iframe 埋め込みコードを生成できます。ワークスペース管理者は、埋め込みダッシュボードのホスティングが承認されているドメイン(存在する場合)を管理できます。ダッシュボードを埋め込むには、ユーザーがサードパーティのCookieを有効にする必要があります。

ワークスペースの管理者設定は、[ダッシュボードの埋め込み] 見出しに対して公開されています。

ダッシュボードを埋め込むことができるドメインを定義するポリシーを設定するには、次の手順を実行します。

  1. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。

  2. セキュリティ 」をクリックします。

  3. [外部アクセス ]セクションまで下にスクロールします。

  4. [埋め込みダッシュボード ] セクションで、ドロップダウン メニューを使用してワークスペースのポリシーを設定します。

    次の 3 つのポリシー オプションがあります。

    • 許可 : ダッシュボードは任意のドメインに埋め込むことができます。
    • 承認済みドメインを許可する : ダッシュボードは、承認済みリストに一致するサイトにのみ埋め込むことができます。
    • 拒否 : ダッシュボードはどのドメインにも埋め込むことはできません。

[ 承認済みドメインを許可する ] を選択した場合は、このセクションを使用して、次の操作を行って承認済みドメインの一覧を管理できます。

  1. 「Embed Dashboards 」の横にある 「Manage 」をクリックします。
  2. [承認済みドメイン ] ダイアログのテキスト フィールドにドメインを入力します。各エントリの後に [ ドメインを追加 ] をクリックします。
  3. 保存 をクリックします。

承認済みドメインとルートを定義するためのヒント

許可されたホストを指定するには、 W3C の Content Security ポリシー ドキュメントで定義されている文法を使用します。 このセクションの例は、いくつかの一般的なパターンを示しています。

サブドメインを許可する

特定のドメインのすべてのサブドメインを許可するには、ドメイン名の前にワイルドカード記号 (*) を使用します。次の例では、 *.databricks.com をサンプル ドメインとして使用しています。

  • 一致: 任意のサブドメイン

    • some.databricks.com
    • app.databricks.com
    • anything.databricks.com

  • 一致しない: 異なるドメインを持つものすべて。

    • another-databricks.com
    • app-databricks.com

特定の URL パスを許可する

ベース URL の下にあるすべてのページを許可するには、末尾のスラッシュ (/) を使用してルートディレクトリを表します。サブディレクトリと追加のパスは一致します。

次の例では、サンプル提供パスとして sites.google.com/some/path/ を使用しています。

  • 試合: sites.google.com/some/path/to/my/dashboardsites.google.com/some/path/any-page
  • 一致しない:
    • sites.google.com/some/path.この例では、末尾にスラッシュがないため、別のURLです。
    • sites.google.com/some/other/path/to/my/dashboard.この例では、同じベース パスを共有しません。
注記

末尾にスラッシュがない URL は完全一致として扱われ、サブパスは省略されます。

ワークスペース管理者のサブスクリプション制御

ワークスペース管理者は、ユーザーがサブスクリプションを使用してダッシュボードを配布できないようにすることができます。この設定を変更すると、すべてのユーザーがスケジュールされたダッシュボードにEメールサブスクライバーを追加できなくなります。 ダッシュボードの編集者は購読者を追加できず、ダッシュボードの閲覧者はスケジュールされたダッシュボードを購読するオプションを持っていません。

Eメール アップデートの共有を防ぐには:

  1. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
  2. 「設定 」サイドバーで、「 通知 」をクリックします。
  3. [ダッシュボードのEメールサブスクリプションを有効にする ]オプションをオフにします。

この設定がオフの場合、既存のサブスクリプションは停止するようになり、誰も既存のサブスクリプション リストを変更できなくなります。 この設定を再びオンにすると、サブスクリプションは既存のリストを使用して再開されます。

ダウンロードコントロール

ワークスペース管理者は、次の手順を使用して、ユーザーがダッシュボードと Genieスペースの結果をダウンロードできないようにセキュリティ設定を調整できます。

  1. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
  2. 「設定 」サイドバーで、「 セキュリティ 」をクリックします。
  3. SQL 結果のダウンロード オプションをオフにします。

ダッシュボードの所有権を譲渡する

ワークスペース管理者は、ダッシュボードの所有権を別のユーザーに譲渡できます。

  1. ダッシュボードのリストに移動します。編集するダッシュボード名をクリックします。
  2. [共有] をクリックします。
  3. [共有]歯車のアイコン。 ダイアログの右上にある アイコンをクリックします。歯車アイコンでダイアログを共有
  4. 検索するユーザー名の入力を開始し、新しい所有者を選択します。
  5. 確認 をクリックします。

新しい所有者が [ 共有 ] ダイアログに [ 管理可能 ] アクセス許可と共に表示されます。所有者別に一覧表示されたダッシュボードを表示するには、[ ダッシュボード]ダッシュボードアイコンをクリックして、使用可能なダッシュボードの一覧に移動します。

AI/BI アクティビティの監視

管理者は、監査ログを使用してダッシュボードと Genie spaces のアクティビティを監視できます。 AI/BI dashboardイベントAI/BI Genieイベントを参照してください。監査ログ情報にアクセスして一般的な質問に答える方法を示すコード例については、「 監査ログとアラートを使用して AI/BI の使用状況を監視する」を参照してください。

最終更新