グループ
このページでは、Databricks のグループの概要について説明します。グループの管理方法については、「 グループの管理」を参照してください。
グループは、ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのアクセスの割り当てを容易にすることで、アイデンティティ管理を簡素化します。すべてのDatabricks アイデンティティをグループのメンバーとして割り当てることができます。
グループソース
Databricks グループは、グループリストの ソース 列に表示されるソースに基づいて 4 つのカテゴリに分類されます
ソース | 説明 |
|---|---|
アカウント | Unity Catalogメタストア内のデータへのアクセス、サービスプリンシパルとグループに対するロールの割り当て、および ID フェデレーション ワークスペースへのアクセス許可を付与できます。これらは、Databricks アカウント全体のアクセスを管理するための主要なグループです。 |
外部 | ID プロバイダーから Databricks で作成されます。これらのグループは、IdP (Microsoft Entra ID など) と同期されたままです。外部グループもアカウントグループと見なされます。 |
システム | Databricks によって作成および保守されています。各アカウントには、すべてのユーザーを含む |
ワークスペース | ワークスペース ローカル グループと呼ばれるこれらは、作成されたワークスペース内でのみ使用される従来のグループです。他のワークスペースに割り当てたり、Unity Catalog データへのアクセスを許可したり、アカウント レベルのロールを割り当てたりすることはできません。Databricks では、より広範な機能を実現するために、ワークスペース ローカル グループをアカウント グループに変換することをお勧めします。 |
グループを管理できるのは誰ですか?
Databricks でグループを作成するには、次のいずれかである必要があります。
- アカウント管理者
- ID フェデレーション ワークスペースのワークスペース管理者
Databricksでグループを管理するには、グループに対する グループ マネージャー ロール (パブリック プレビュー) が必要です。このロールでは、次のことができます。
- グループメンバーシップの管理
- グループの削除
- 他のユーザーへのグループマネージャーの役割の割り当て
デフォルトでは、
- アカウント admin には、すべてのグループに対してグループマネージャーの役割が自動的に付与されます。
- ワークスペース 管理者には、作成したグループに対するグループ マネージャー ロールが自動的に付与されます。
グループマネージャーの役割は、次の方法で構成できます。
- アカウント admins, アカウントコンソールの使用
- ワークスペース 管理者、ワークスペース管理者設定ページを使用
- 管理者以外のグループマネージャー、アカウント アクセス制御 API
ワークスペース管理者は、従来の ワークスペース-ローカル グループを作成および管理することもできます。
ID プロバイダーから Databricks アカウントにグループを同期する
Databricks では、SCIM プロビジョニング コネクタを使用して、ID プロバイダーから Databricks アカウントにグループを同期することをお勧めします。手順については、「 ユーザーとグループを Databricks アカウントに同期する」を参照してください。
