認証とアクセス制御
この記事では、Databricks での認証とアクセス制御について説明します。 データへのアクセスの保護に関する情報については、「Unity Catalogによるデータガバナンス」を参照してください。
Google Cloud Identity を使用したシングル サインオン
Google Cloud Identity(またはGSuite)の形式でのシングルサインオンは、Databricksでデフォルトで利用できます。 Google Cloud Identity のシングル サインオンは、アカウント コンソールとワークスペースの両方で使用します。 Google Cloud Identity を使用して多要素認証を有効にできます。
必要に応じて、Google Cloud Identity アカウント(または GSuite アカウント)を外部の SAML 2.0 ID プロバイダ(IdP)とフェデレーションしてユーザーの認証情報を確認するように設定できます。 Google Cloud Identity は、Microsoft Entra ID、Okta、Ping、その他の IdP と連携できます。 ただし、 Databricks は Google Identity Platform APIsと直接やり取りするだけです。
ID プロバイダーからユーザーとグループを同期する
SCIM を使用して、ID プロバイダーから Databricks アカウントにユーザーとグループを自動的に同期できます。 SCIM は、ユーザー プロビジョニングを自動化できるオープン スタンダードです。 SCIM は、一貫したオンボーディングとオフボーディングのプロセスを可能にします。 ID プロバイダーを使用して、Databricks でユーザーとグループを作成し、適切なレベルのアクセス権を付与します。 ユーザーが組織を離れた場合、または Databricks にアクセスする必要がなくなった場合、管理者は ID プロバイダーからユーザーを削除でき、そのユーザーは Databricks で非アクティブ化されます。 これにより、権限のないユーザーが機密データにアクセスするのを防ぎます。 詳細については、「SCIMを使用して ID プロバイダーからユーザーとグループを同期する」を参照してください。
Databricksでユーザーとグループを最適に構成する方法の詳細については、「ID のベスト プラクティス」を参照してください。
OAuth による安全な API 認証
Databricks OAuth は、Databricks ワークスペース レベルでのリソースと操作の安全な資格情報とアクセスをサポートし、承認のためのきめ細かなアクセス許可をサポートします。
Databricks では、個人用アクセス トークン (PAT) もサポートされていますが、代わりに OAuth を使用することをお勧めします。 PAT を監視および管理するには、「 個人用アクセス トークンの監視と取り消し 」および「 個人用アクセス トークンのアクセス許可の管理」を参照してください。
Databricks 自動化全体に対する認証の詳細については、「Databricks リソースへのアクセスの承認」を参照してください。
アクセス制御の概要
Databricks には、セキュリティ保護可能なオブジェクトごとに異なるアクセス制御システムがあります。 次の表は、どのアクセス制御システムがどの種類のセキュリティ保護可能なオブジェクトを制御するかを示しています。
セキュリティ保護可能なオブジェクト | アクセス制御システム |
|---|---|
ワークスペース レベルのセキュリティ保護可能なオブジェクト | アクセス制御リスト |
アカウント レベルのセキュリティ保護可能なオブジェクト | アカウント 役割ベースのアクセス制御 |
データ保護可能なオブジェクト | Unity Catalog |
Databricks には、ユーザー、サービスプリンシパル、およびグループに直接割り当てられる管理者ロールと権限も用意されています。
データのセキュリティ保護に関する情報については、「Unity Catalogによるデータガバナンス」を参照してください。
アクセス制御リスト
Databricksでは、アクセス制御リスト (ACL) を使用して、ノートブックや SQLウェアハウスなどのワークスペースオブジェクトへのアクセス許可を構成できます。すべてのワークスペース管理者ユーザーは、アクセス制御リストを管理するための委任された権限を付与されたユーザーと同様に、アクセス制御リストを管理できます。 アクセス制御リストの詳細については、「 アクセス制御リスト」を参照してください。
アカウント 役割ベースのアクセス制御
アカウント 役割ベースのアクセス制御 を使用して、サービスプリンシパル や グループなどのアカウント レベルのオブジェクトを使用する権限を構成できます。 アカウント ロールは、アカウント内で一度定義すると、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーがアカウントロールを管理でき、グループマネージャーやサービスプリンシパルマネージャーなど、アカウントロールを管理するための委任されたアクセス許可が付与されたユーザーも管理できます。
特定のアカウントレベルオブジェクトに対するアカウントの役割の詳細については、次の記事に従ってください。
管理者ロールとワークスペースのエンタイトルメント
Databricks プラットフォームで使用できる管理者権限には、主に 2 つのレベルがあります。
-
アカウント admins: ワークスペースの作成、ユーザー管理、クラウド リソース、アカウント usage モニタリングなど、 Databricks アカウントを管理します。
-
ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、および機能を管理します。
また、権限のセットが狭い機能固有の管理者ロールもあります。 使用可能なロールについては、「 Databricks 管理の概要」を参照してください。
エンタイトルメントは、ユーザー、サービスプリンシパル、またはグループが指定された方法で Databricks と対話できるようにするプロパティです。 ワークスペース管理者は、ワークスペース レベルでユーザー、サービスプリンシパル、およびグループにエンタイトルメントを割り当てます。 詳細については、「 エンタイトルメントの管理」を参照してください。