メインコンテンツまでスキップ

Databricks アプリのアクセス権限を構成する

アクセス権限は、アプリへのアクセス、管理、共有など、ユーザーが Databricks アプリで実行できる操作を制御します。これは、ユーザーの ID を確認する認証とは異なります。権限は、ユーザーがアプリ内で実行できるアクションを決定します。

権限レベル

  • IS OWNER - アプリの編集、権限の管理、削除など、アプリを完全に制御できます。
  • CAN MANAGE - アプリの設定と権限を管理できますが、所有者でない限りアプリを削除することはできません。
  • CAN USE - アプリを実行して操作することはできますが、変更や管理はできません。

IS OWNERまたはCAN MANAGEの権限を持つユーザーのみが、アプリに対する権限を割り当てたり取り消したりできます。

組織の権限

アプリの組織の権限を [組織内のすべてのユーザーが使用できる] に設定すると、現在の Databricks アカウントのすべてのユーザーがアプリにアクセスできます。これには、手動で追加されたユーザー、 System for Cross-domain Identity Management (SCIM) を介して同期されたユーザー、ID プロバイダーを介した Just-In-Time(JIT)プロビジョニング を使用して作成されたユーザーが含まれます。

JIT でプロビジョニングされたユーザーは、引き続き組織の ID プロバイダーを通じて認証され、Databricks によってアカウント ユーザーとして認識される必要があります。これらのユーザーには、ワークスペースへのアクセス権がない場合でも、アプリへのアクセス権を付与 CAN USE ことができます。ただし、アクセスはワークスペースの認証ポリシーによって異なります。たとえば、PrivateLink が有効になっている場合、Databricks はワークスペース レベルの認証にフォールバックする可能性があります。この場合、Databricks パブリック エンドポイント経由で接続するユーザーのアクセスはブロックされます。

Databricks アプリを公開することはできません。匿名アクセスとシングルサインオン(SSO)のバイパスはサポートされていません。外部コラボレーターにアクセス権を付与するには、SCIM および JIT プロビジョニングで ID フェデレーションを使用して、完全なワークスペース アクセスを許可せずに ID プロバイダーを通じてユーザーをオンボードします。

Databricks アプリの UI で権限を割り当てる

Databricks アプリの UI で直接権限を割り当てることで、Databricks アプリを表示、実行、または変更できるユーザーを管理します。

  1. アプリの詳細ページに移動します。
  2. 権限 」タブをクリックします。
  3. ユーザー、グループ、サービスプリンシパルを選択... ドロップダウンを使用して、ユーザー、グループ、またはサービスプリンシパルを選択します。
  4. 適切な権限レベル (CAN USECAN MANAGE、または IS OWNER) を選択します。
  5. 追加 をクリックし、 保存 をクリックして変更を適用します。

権限と認可

Databricks Apps では、関連しているが異なる概念である 権限認可 を区別することが重要です。

  • 権限 はワークスペース レベルで割り当てられ、ワークスペース内でアプリを管理または使用できるユーザーを定義します。権限は、アプリをデプロイ、更新、実行できるユーザーなど、アプリ自体へのアクセスを制御します。権限は、アプリやそのユーザーがアクセスできるデータを制御するものではありません。

  • 承認 とは、データとリソースへのアクセスを制御することを指し、次の 2 つのサブカテゴリがあります。

    • ユーザー認可 - ユーザーがアプリに対して認証されると、Databricks はユーザーの ID をアプリ ランタイムに転送します。これにより、Unity Catalog やその他のデータ アクセス ポリシーで、ユーザーの ID に基づいて権限を適用し、アプリがユーザーに代わってアクセスできるデータを制限できます。
    • アプリの認可 - 必要な Databricks リソースにアクセスするための独自のアクセス許可を持つサービスプリンシパルを使用して実行されるアプリ。 この承認は、アプリ自体がユーザーに関係なく実行できる操作を管理します。

要約すると、権限はアプリへのワークスペース レベルのアクセス (アプリを使用または管理できるユーザー) を制御し、承認は、ユーザー ID ベースのアクセスとアプリ サービスプリンシパル アクセスの両方を含むデータ レベルとリソースのアクセスを制御します。

詳細については、「Databricksアプリで承認を構成する」を参照してください。

権限のベストプラクティス

次のベストプラクティスに従って、Databricks アプリの権限を安全に管理します。

  • 最小特権の原則に従って、各ユーザーのロールに必要な権限のみを付与します。
  • ユーザーが管理機能を必要としない限り CAN USE 権限を割り当てることを優先します。
  • グループまたはサービスプリンシパルを使用して、権限を大規模に効率的に管理します。
最終更新