メインコンテンツまでスキップ
最終更新

ワークスペース権限制御の移行

ワークスペースの資格管理を、プリンシパルがusersシステムグループから権限を自動的に継承するのではなく、追加時に各プリンシパルの資格を選択するように移行します。これにより、ワークスペースへのアクセスをきめ細かく制御し、オーサリング権限を付与することなく、コンシューマーのみのユーザーを追加できます。これはすべてのワークスペースでデフォルトの動作になります。早期に移行して、ご自身のスケジュールでテストできます。

移行により、users および admins システムグループの動作が変更され、既存の資格が新しいグループに移動されるため、プリンシパルは現在のアクセスを保持します。このページでは、新しい動作、移行のステップ、および必要な移行前の作業について説明します。

概要

各ワークスペースには、ワークスペースへのアクセス権が付与されたすべてのプリンシパルを含むusersと、ワークスペース管理者を含むadminsの2つのシステムグループがあります。現在、ワークスペースに追加されたすべてのプリンシパルは、users に付与された資格を継承します。デフォルトでこれらの資格は以下のとおりです:

  • ワークスペースアクセス :ノートブック、ジョブ、パイプライン、アプリなどを作成および使用します。
  • Databricks SQL アクセス : ダッシュボード、Genie スペース、アラートなどを作成、使用できます。

変更後:

  • プリンシパルを追加する際に、それぞれのプリンシパルの資格を選択します。自動的にオーサリング権限が継承されることなく、コンシューマー専用ユーザーを含む任意のアクセスレベルでプリンシパルを追加できます。

    プリンシパルをワークスペースに追加し、各エンタイトルメントを明示的に選択します。

  • usersグループには資格がなく、adminsグループはすべてのワークスペースの資格を持ちます。どちらも変更できません。

  • usersadmins グループを他のグループのメンバーとして入れ子にすることはできません。

既存のプリンシパルは、現在のアクセスレベルを保持します。Databricks は、users に以前付与された資格を、デフォルト名 users-clone-<TIMESTAMP> の新しいワークスペースローカルクローングループに自動的に移行します。ここで、<TIMESTAMP> は移行時刻です。移行中にグループの名前を変更し、他のワークスペースローカルグループと同様に管理できます。adminsグループは、すべてのワークスペース権限が自動的に付与されるため、移行は不要です。

タイムライン

これはすべてのワークスペースでデフォルトの動作になります。変更は3つのフェーズで行われます。

  • 2026年6月15日 より、オプトインが利用可能です。新しい動作をテストするために、ワークスペースを早めに移行してください。
  • 2026年7月27日 – オプトインまたはオプトアウトしていないワークスペースに対して、自動的に有効化されます。適用されるまで、一時的にオプトアウトもできます。
  • 2026年9月14日 すべてのワークスペースに適用されます。オプトアウトはもう利用できません。

詳細については、今後の動作変更:ワークスペースにプリンシパルを追加する際に資格を選択を参照してください。

始める前に

ワークスペースを移行し、新しい動作を管理するには、ワークスペース管理者である必要があります。

新しい動作がワークスペースで有効になる前に、以下の操作を実行してください:

  • 自動化 :Terraform、ワークスペースSCIM APIs、またはカスタムスクリプトを使用してシステムグループの資格を管理している場合は、ワークフローをシステムグループではなくアカウントグループをターゲットにするように更新してください。Databricks が新しい動作を有効にした後、システムグループの権限を変更しようとすると失敗します。
  • ネストされたシステムグループusers または admins が別のグループのメンバーとしてネストされている場合は、ネストを解除してください。新しい動作では、入れ子を許可していません。
  • SCIM同期 : SCIM同期が認識しないワークスペースグループを削除してしまう場合は、移行クローングループ (users-clone-<TIMESTAMP>) を保持するように構成を更新してください。同期によってクローングループが削除された場合、それに移行されたプリンシパルは資格を失います。

ワークスペースを移行

新しい動作は、ワークスペース設定の 新しい動作:ワークスペースにプリンシパルを追加する際に資格を選択 という設定から管理します。

ワークスペースを新しい動作に移行するには:

  1. ワークスペース管理者として、Databricksワークスペースにログインします。

  2. 上部のバーにあるユーザー名をクリックし、 [設定] を選択します。

  3. 詳細設定 タブをクリックします。

  4. アクセス制御 で、 新しい動作:ワークスペースにプリンシパルを追加する際に、資格を選択 を見つけてください。ステータスには**レガシー動作(対応が必要な場合があります)**と表示されます。

    以前の動作を使用しているワークスペースを示すアクセスコントロール設定です。

  5. [**管理**]をクリックします。

  6. ダイアログで、usersadminsグループの現在の資格付与を確認してください。「**このワークスペースの動作**」で「**新しい動作を使用する**」を選択します。

  7. クローンするグループ名 」で、usersに付与されたエンタイトルメントを受け取るグループの名前を入力するか、またはデフォルトのままにします。このグループは、既存のプリンシパルの権限を保持します。

    新しい動作が選択され、クローングループ名フィールドを含む管理ダイアログです。

  8. 保存 をクリックします。

    Databricksはusersの権限をクローングループに移行します。ワークスペースに直接割り当てられているプリンシパルは、クローン グループに追加されるため、アクセス権が保持されます。これらのプリンシパルには、直接追加されたユーザーとサービスプリンシパル、およびワークスペースに割り当てられているアカウントグループが含まれます。

    ユーザーが権限なしに、管理者がすべての権限に設定された移行確認ダイアログを管理します。

移行が完了すると、設定ではワークスペースが新しい動作になっていることが表示されます。

新しい動作を反映したワークスペースのアクセス制御設定

変更を確認

移行を完了した後、変更が正しく適用されたことを確認します:

  1. ワークスペース管理者として、Databricksワークスペースにログインします。
  2. 上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
  3. [ IDとアクセス ] タブをクリックします。
  4. 「**グループ**」の横にある「**管理**」をクリックします。
  5. 以下を確認してください:
    • クローングループは存在し、移行前にusersグループが持っていた資格を保持しています。
    • クローングループには、users を介してワークスペースに直接追加されたプリンシパル(直接追加されたユーザー、サービスプリンシパル、およびワークスペースに割り当てられたアカウントグループなど)が含まれます。
    • usersグループには資格がなく、adminsグループはすべてのワークスペースの資格を持ちます。
注記

クローンされたグループには直接メンバーのみが含まれるため、アカウントグループメンバーシップを通じて追加されたすべてのメンバーが含まれるusersグループよりも、メンバー数が少なく表示される場合があります。これは、誰もアクセス権を失ったわけではありません。そのアカウントグループがクローングループに追加されるため、アカウントグループを介してワークスペースに参加したプリンシパルは引き続き対象となります。ワークスペースローカルグループは、ワークスペースのメンバーシップを付与しないため、コピーされません。

考慮事項およびベストプラクティス

ワークスペースを移行する際には、以下の点を考慮してください。

  • 移行後のプリンシパルの追加 :新しい動作が有効になった後、ワークスペースにプリンシパルを追加する際に、それぞれのプリンシパルの資格を選択します。 オーサリング権限を付与するには、**ワークスペースアクセス**または**Databricks SQLアクセス**を選択します。 閲覧専用のコンシューマーを追加するには、 コンシューマーアクセス のみ付与します。詳細については、「コンシューマーアクセスとは何ですか?」を参照してください。そしてGenieインターフェースを使用する
  • クローングループの管理 : users-clone-<TIMESTAMP>グループは標準のワークスペースローカルグループです。他のグループと同様に、メンバーシップと資格を管理します。「グループの管理」を参照してください。
  • オプトアウト:移行後にオプトアウトした場合、users-clone-<TIMESTAMP> グループが残ります。保持して管理することも、手動で削除することもできます。
  • ID プロバイダーとの調整 :SCIM プロビジョニングを使用してユーザーとグループを同期する場合は、クローン グループが保持されるように、この変更を ID 管理プロセスと調整します。SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

次のステップ

ワークスペースを移行した後、次のことを実行できます。

このページの見出し