グループ
このページでは、Databricks のグループの概要について説明します。グループを管理する方法については、「 グループの管理」を参照してください。
グループは、ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのアクセスの割り当てを容易にすることで、アイデンティティ管理を簡素化します。すべてのDatabricks アイデンティティをグループのメンバーとして割り当てることができます。
このページでは、ワークスペースで ID フェデレーションが有効になっていることを前提としています。これは、ほとんどのワークスペースにとって確実です。 ID フェデレーションのないレガシー ワークスペースについては、 「ID フェデレーションのないレガシー ワークスペース」を参照してください。
グループソース
Databricks グループは、グループリストの ソース 列に表示されるソースに基づいて 4 つのカテゴリに分類されます
ソース | 説明 |
|---|---|
アカウント | Unity Catalogメタストア内のデータへのアクセス、サービス プリンシパルとグループでの割り当てられたロール、ワークスペースへのアクセス許可、およびワークスペース オブジェクトへのアクセス許可を付与できます。 メンバーは、グループがワークスペースに割り当てられているかどうかに関係なく、メンバーであるすべてのアカウント グループからワークスペース オブジェクトの権限を継承します。 これらは、 Databricksアカウント全体のアクセスを管理するためのプライマリ グループです。 |
外部 | ID プロバイダーから Databricks で作成されます。これらのグループは、IdP (Microsoft Entra ID など) と同期されたままです。外部グループもアカウントグループと見なされます。 |
システム | Databricksによって作成および管理されています。各アカウントには、すべてのユーザーとサービスプリンシパルを含む |
ワークスペース | ワークスペース ローカル グループと呼ばれるこれらは、作成されたワークスペース内でのみ使用される従来のグループです。他のワークスペースに割り当てたり、Unity Catalog データへのアクセスを許可したり、アカウント レベルのロールを割り当てたりすることはできません。Databricks では、より広範な機能を実現するために、ワークスペース ローカル グループをアカウント グループに変換することをお勧めします。 |
今後のリリースでは、ワークスペースシステムグループ( usersとadmins )には変更できない固定の権限付与が適用されます。usersグループには権限がなく、 adminsグループにはすべてのワークスペース権限が付与されます。usersグループに既存の権限は自動的にクローンされたグループに移行されるため、現在のユーザーはアクセス権を維持できます。詳細については、 「ワークスペース システム グループはまもなく固定資格付与を取得します」を参照してください。
グループを管理できるのは誰ですか?
Databricks でグループを作成するには、次のいずれかである必要があります。
- アカウント管理者
- ワークスペース管理者
Databricksでグループを管理するには、グループに対する グループ マネージャー ロール (パブリック プレビュー) が必要です。このロールでは、次のことができます。
- グループメンバーシップの管理
- グループの削除
- 他のユーザーへのグループマネージャーの役割の割り当て
デフォルトでは、
- アカウント admin には、すべてのグループに対してグループマネージャーの役割が自動的に付与されます。
- ワークスペース 管理者には、作成したグループに対するグループ マネージャー ロールが自動的に付与されます。
グループマネージャーの役割は、次の方法で構成できます。
- アカウント admins, アカウントコンソールの使用
- ワークスペース 管理者、ワークスペース管理者設定ページを使用
- 管理者以外のグループマネージャー、アカウント アクセス制御 API
ワークスペース管理者は、従来の ワークスペース-ローカル グループを作成および管理することもできます。
ID プロバイダーから Databricks アカウントにグループを同期する
Databricks では、SCIM プロビジョニング コネクタを使用して、ID プロバイダーから Databricks アカウントにグループを同期することをお勧めします。手順については、「 ユーザーとグループを Databricks アカウントに同期する」を参照してください。
