エンタイトルメントの管理
このページでは、ユーザー、サービスプリンシパル、およびグループの権限を管理する方法について説明します。
資格の概要
エンタイトルメントは、ユーザー、サービスプリンシパル、またはグループが指定された方法で Databricks と対話できるようにするプロパティです。 エンタイトルメントは、ワークスペース レベルでユーザーに割り当てられます。 エンタイトルメントは、プレミアムプラン以上でのみ利用可能です。
アクセス権限
機能 | コンシューマーアクセス | Databricks SQLへのアクセス | ワークスペースのアクセス権 |
|---|---|---|---|
ダッシュボードとGenie spacesの読み取り/実行 | ✓ | ✓ | ✓ |
SQLツールを使用したウェアハウス クエリBI | ✓ | ✓ | |
Databricks SQL オブジェクトの読み取り/書き込み | ✓ | ||
データサイエンスおよびエンジニアリングオブジェクトの読み取り/書き込み | ✓ | ||
Databricks Mosaic AI オブジェクトの読み取り/書き込み | ✓ |
users と admins グループには、デフォルトによって ワークスペース アクセス と Databricks SQL アクセス のエンタイトルメントが付与されます。すべてのワークスペース ユーザーとサービスプリンシパルは、このグループのメンバーです。 コンシューマー アクセス エクスペリエンスを提供するには、users グループに コンシューマー アクセス 資格のみを持つか、資格を持たない必要があります。これには、users グループ (および該当する場合は account users グループ) から ワークスペース アクセス 権限と Databricks SQL アクセス 権限を削除し、それらを特定のユーザー、サービスプリンシパル、またはグループに個別に割り当てる必要があります。
Databricks ワークスペースにアクセスするには、ユーザーは少なくとも 1 つのアクセス権限を持っている必要があります。
コンシューマー アクセスとアカウント ユーザー
前の表は、ワークスペース内のアクセス権限をまとめたものです。次の表は、 コンシューマー アクセス権 を持つワークスペース ユーザーと、ワークスペース メンバーシップを持たないアカウント ユーザーが使用できる機能を比較したものです。
機能 | ワークスペースへのコンシューマーアクセス | ワークスペース メンバーシップを持たないアカウント ユーザー |
|---|---|---|
埋め込み資格情報を使用したダッシュボードの表示 | ✓ | ✓ |
ビューアーの資格情報を使用したダッシュボードと Genie spaces の表示 | ✓ | |
行レベルと列レベルのセキュリティを使用したオブジェクトの表示 | ✓ | |
限定的なコンシューマーワークスペースUIへのアクセス | ✓ | |
SQLツールを使用したウェアハウス クエリBI | ✓ |
コンピュート エンタイトルメント
[無制限のクラスタリング作成を許可する ] と [ プール作成を許可する ] の権利は、ワークスペースでコンピュート リソースをプロビジョニングする機能を制御します。
-
[無制限のクラスタリングの作成を許可する ] は、ユーザーまたはサービスプリンシパルに無制限のクラスタリングを作成する権限を付与します。
-
[プールの作成を許可する ] では、グループのメンバーがインスタンス プールを作成できます。
これらのエンタイトルメントはデフォルトでは付与されず、ワークスペース管理者から削除することはできません。管理者設定ページを使用して allow-instance-pool-create 権限を付与することはできません。代わりに、ワークスペース Users、サービスプリンシパル、またはグループ API
ユーザーの権限を管理する
ワークスペース管理者は、ワークスペース管理者設定ページを使用して、ユーザーの権利を追加または削除できます。 ワークスペース Users APIを使用することもできます。
- ワークスペース管理者として、Databricksワークスペースにログインします。
- Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
- [ IDとアクセス ] タブをクリックします。
- [ ユーザー ] の横にある [ 管理 ] をクリックします。
- ユーザーを選択します。
- [ 権限 ] タブをクリックします。
- エンタイトルメントを追加するには、対応する列のトグルを選択します。
users グループには、デフォルトによって ワークスペース アクセス と Databricks SQL アクセス のエンタイトルメントが付与されており、すべてのワークスペース ユーザーとサービスプリンシパルはこのグループのメンバーです。 コンシューマー アクセス 資格はより制限が厳しいため、単独で付与するには、users グループから ワークスペース アクセス と Databricks SQL アクセス 資格を削除する必要があります。その後、権限をユーザー、サービスプリンシパル、またはグループに個別に割り当てる必要があります。
エンタイトルメントを削除するには、同じ手順を実行しますが、代わりにトグルを選択解除してください。
権限がグループから継承されている場合、権限のトグルは選択されますが、グレー表示されます。 継承された権限を削除するには、権限を持つグループからユーザーを削除するか、グループから権限を削除します。
サービスプリンシパルでエンタイトルメントを管理する
ワークスペース 管理者は、ワークスペース 管理者設定ページを使用して、サービスプリンシパルのエンタイトルメントを追加または削除できます。 ワークスペース サービスプリンシパル APIを使用することもできます。
- ワークスペース管理者として、Databricksワークスペースにログインします。
- Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
- [ IDとアクセス ] タブをクリックします。
- サービスプリンシパル の横にある [ 管理 ] をクリックします。
- 更新するサービスプリンシパルを選択します。
- エンタイトルメントを追加するには、[ エンタイトルメント] で、対応するチェックボックスをオンにします。
権限を削除するには、同じ手順を実行しますが、代わりにチェックボックスをオフにします。
権限がグループから継承されている場合、権限のトグルは選択されますが、グレー表示されます。 継承されたエンタイトルメントを削除するには、エンタイトルメントを持つグループからサービスプリンシパルを削除するか、グループからエンタイトルメントを削除します。
グループのエンタイトルメントを管理する
ワークスペース 管理者は、グループがアカウントで作成されたか、ワークスペースローカルであるかに関係なく、ワークスペース レベルでグループの権利を管理できます。
- ワークスペース管理者として、Databricksワークスペースにログインします。
- Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
- [ IDとアクセス ] タブをクリックします。
- [グループ] の横にある [管理] をクリックします。
- 更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。
- [ 資格 ] タブで、グループ内のすべてのユーザーに付与する資格を選択します。
権限を削除するには、同じ手順を実行しますが、代わりにトグルの選択を解除します。 グループ メンバーは、個々のユーザーとして、または別のグループ メンバーシップを通じてアクセス許可が付与されていない限り、権限を失います。