メインコンテンツまでスキップ

Databricks アプリのアクセス許可を構成する

アクセス許可は、アプリへのアクセス、管理、共有など、ユーザーが Databricks アプリで実行できる操作を制御します。これは、ユーザーの ID を確認する認証とは異なります。権限は、ユーザーがアプリ内で実行できるアクションを決定します。

アクセス許可レベル

  • IS_OWNER - アプリの編集、権限の管理、削除など、アプリを完全に制御できます。
  • CAN_MANAGE - アプリの設定と権限を管理できますが、所有者でない限りアプリを削除することはできません。
  • CAN_USE - アプリを実行して操作することはできますが、変更や管理はできません。

IS OWNERまたはCAN MANAGEの権限を持つユーザーのみが、アプリに対する権限を割り当てたり取り消したりできます。

Databricks アプリの UI でアクセス許可を割り当てる

Databricks アプリの UI で直接権限を割り当てることで、Databricks アプリを表示、実行、または変更できるユーザーを管理します。

  1. アプリの詳細ページに移動します。
  2. 権限 」タブをクリックします。
  3. ユーザー、グループ、サービスプリンシパルを選択... ドロップダウンを使用して、ユーザー、グループ、またはサービスプリンシパルを選択します。
  4. 適切な権限レベル (CAN_USECAN_MANAGE、または IS_OWNER) を選択します。
  5. 追加 をクリックし、 保存 をクリックして変更を適用します。

アクセス許可と承認

Databricks Apps では、関連しているが異なる概念である アクセス許可承認 を区別することが重要です。

  • アクセス許可 はワークスペース レベルで割り当てられ、ワークスペース内でアプリを管理または使用できるユーザーを定義します。アクセス許可は、アプリをデプロイ、更新、実行できるユーザーなど、アプリ自体へのアクセスを制御します。権限は、アプリやそのユーザーがアクセスできるデータを制御するものではありません。

  • 承認 とは、データとリソースへのアクセスを制御することを指し、次の 2 つのサブカテゴリがあります。

    • ユーザー認証 - ユーザーがアプリに対して認証されると、Databricks はユーザーの ID をアプリ ランタイムに転送します。これにより、Unity Catalog やその他のデータ アクセス ポリシーで、ユーザーの ID に基づいてアクセス許可を適用し、アプリがユーザーに代わってアクセスできるデータを制限できます。
    • アプリの承認 - 必要な Databricks リソースにアクセスするための独自のアクセス許可を持つサービスプリンシパルを使用して実行されるアプリ。 この承認は、アプリ自体がユーザーに関係なく実行できる操作を管理します。

要約すると、権限はアプリへのワークスペース レベルのアクセス (アプリを使用または管理できるユーザー) を制御し、承認は、ユーザー ID ベースのアクセスとアプリ サービスプリンシパル アクセスの両方を含むデータ レベルとリソースのアクセスを制御します。

詳細については、「Databricksアプリで承認を構成する」を参照してください。

おすすめの方法

次のベスト プラクティスに従って、Databricks アプリのアクセス許可を安全に管理します。

  • 最小特権の原則に従って、各ユーザーのロールに必要なアクセス許可のみを付与します。
  • ユーザーが管理機能を必要としない限り CAN_USE 権限を割り当てることを優先します。
  • グループまたはサービスプリンシパルを使用して、権限を大規模に効率的に管理します。