Databricks アプリのアクセス許可を構成する
アクセス許可は、アプリへのアクセス、管理、共有など、ユーザーが Databricks アプリで実行できる操作を制御します。これは、ユーザーの ID を確認する認証とは異なります。権限は、ユーザーがアプリ内で実行できるアクションを決定します。
アクセス許可レベル
IS_OWNER- アプリの編集、権限の管理、削除など、アプリを完全に制御できます。CAN_MANAGE- アプリの設定と権限を管理できますが、所有者でない限りアプリを削除することはできません。CAN_USE- アプリを実行して操作することはできますが、変更や管理はできません。
IS OWNERまたはCAN MANAGEの権限を持つユーザーのみが、アプリに対する権限を割り当てたり取り消したりできます。
Databricks アプリの UI でアクセス許可を割り当てる
Databricks アプリの UI で直接権限を割り当てることで、Databricks アプリを表示、実行、または変更できるユーザーを管理します。
- アプリの詳細ページに移動します。
- 「 権限 」タブをクリックします。
- ユーザー、グループ、サービスプリンシパルを選択... ドロップダウンを使用して、ユーザー、グループ、またはサービスプリンシパルを選択します。
- 適切な権限レベル (
CAN_USE、CAN_MANAGE、またはIS_OWNER) を選択します。 - 追加 をクリックし、 保存 をクリックして変更を適用します。
アクセス許可と承認
Databricks Apps では、関連しているが異なる概念である アクセス許可 と 承認 を区別することが重要です。
-
アクセス許可 はワークスペース レベルで割り当てられ、ワークスペース内でアプリを管理または使用できるユーザーを定義します。アクセス許可は、アプリをデプロイ、更新、実行できるユーザーなど、アプリ自体へのアクセスを制御します。権限は、アプリやそのユーザーがアクセスできるデータを制御するものではありません。
-
承認 とは、データとリソースへのアクセスを制御することを指し、次の 2 つのサブカテゴリがあります。
- ユーザー認証 - ユーザーがアプリに対して認証されると、Databricks はユーザーの ID をアプリ ランタイムに転送します。これにより、Unity Catalog やその他のデータ アクセス ポリシーで、ユーザーの ID に基づいてアクセス許可を適用し、アプリがユーザーに代わってアクセスできるデータを制限できます。
- アプリの承認 - 必要な Databricks リソースにアクセスするための独自のアクセス許可を持つサービスプリンシパルを使用して実行されるアプリ。 この承認は、アプリ自体がユーザーに関係なく実行できる操作を管理します。
要約すると、権限はアプリへのワークスペース レベルのアクセス (アプリを使用または管理できるユーザー) を制御し、承認は、ユーザー ID ベースのアクセスとアプリ サービスプリンシパル アクセスの両方を含むデータ レベルとリソースのアクセスを制御します。
詳細については、「Databricksアプリで承認を構成する」を参照してください。
おすすめの方法
次のベスト プラクティスに従って、Databricks アプリのアクセス許可を安全に管理します。
- 最小特権の原則に従って、各ユーザーのロールに必要なアクセス許可のみを付与します。
- ユーザーが管理機能を必要としない限り
CAN_USE権限を割り当てることを優先します。 - グループまたはサービスプリンシパルを使用して、権限を大規模に効率的に管理します。