メインコンテンツまでスキップ

グループの管理

このページでは、Databricks アカウントとワークスペースのグループを管理する方法について説明します。

グループの概要については、「 グループ」を参照してください。

ID プロバイダーから Databricks アカウントにグループを同期する

SCIM プロビジョニング コネクタを使用して、ID プロバイダー (IdP) から Databricks アカウントにグループを同期できます。手順については、「 ユーザーとグループを Databricks アカウントに同期する」を参照してください。

アカウントにグループを追加する

アカウント 管理者とワークスペース 管理者は、アカウント コンソールまたはワークスペース admin 設定ページを使用して、 Databricks アカウントにグループ を追加できます。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ] タブで、[ グループの追加 ] をクリックします。
  4. グループの名前を入力します。
  5. 確認 をクリックします。
  6. プロンプトが表示されたら、ユーザー、サービスプリンシパル、およびグループをグループに追加します。

グループにメンバーを追加する

アカウント 管理者とワークスペース 管理者は、アカウント コンソールまたはワークスペース admin 設定ページを使用して、 Databricks アカウントにグループ を追加できます。 ワークスペース管理者ではないグループ マネージャーは、アカウント グループ APIを使用してグループ メンバーシップを管理する必要があります。

注記

外部グループを ID プロバイダと同期させるために、デフォルトではアカウントコンソールで外部グループのメンバーシップを管理することはできません。Databricks UI から外部グループ メンバーシップを更新するには、アカウント管理者がアカウント コンソールのプレビュー ページで Immutable external グループ プレビュー を無効にすることができます。自動 ID 管理を使用して管理されている外部グループは、不変の外部グループのプレビューが無効になっている場合でも、Databricks で更新することはできません。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ] タブで、更新するグループを選択します。
  4. [ メンバーを追加 ]をクリックします。
  5. 追加したいユーザー、グループ、サービスプリンシパルを検索し、選択します。
  6. [ 追加 ] をクリックします。

アカウントからグループを更新してから、ワークスペースでグループが更新されるまでには数分の遅延があります。

グループの名前を変更する

アカウント 管理者はアカウント コンソールを使用してグループの名前を更新でき、グループ マネージャーは アカウント グループ APIを使用してグループの名前を更新できます。 外部グループを ID プロバイダーと同期させるために、デフォルトではアカウントコンソールで外部グループの名前を更新することはできません。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ] タブで、更新するグループを選択します。
  4. [ グループ情報 ]をクリックします。
  5. [ 名前 ]で名前を更新します。
  6. 保存 をクリックします。

ワークスペースにグループを割り当てる

アカウント 管理者とワークスペース 管理者は、アカウント コンソールまたはワークスペース管理者設定ページを使用して、グループ を Databricks ワークスペースに割り当てることができます。

アカウントコンソールを使用してワークスペースにグループを追加するには、ワークスペースで ID フェデレーションが有効になっている必要があります。ワークスペース-local グループはワークスペースに割り当てることができません。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、 ワークスペース をクリックします。
  3. ワークスペース名をクリックします。
  4. [ 権限 ] タブで、[ 権限を追加 ] をクリックします。
  5. グループを検索して選択し、権限レベル(ワークスペース ユーザー または 管理者 )を割り当て、 [保存] をクリックします。

ワークスペースからグループを削除する

アカウント グループがワークスペースから削除されると、グループ メンバーはワークスペースにアクセスできなくなりますが、グループに対する権限は維持されます。グループが後でワークスペースに再度追加された場合、グループは以前の権限を取り戻します。

アカウント 管理者とワークスペース 管理者は、アカウント コンソールまたはワークスペース管理者設定ページを使用して、 Databricks ワークスペースからグループを削除できます。

アカウントコンソールを使用してワークスペースにグループを削除するには、ワークスペースで ID フェデレーションが有効になっている必要があります。ワークスペース-local グループ は、アカウント コンソールを使用してワークスペースから削除することはできません。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、 ワークスペース をクリックします。
  3. ワークスペース名をクリックします。
  4. [アクセス許可 ] タブで、グループを見つけます。
  5. グループ行の右端にある ケバブメニュー ケバブメニューをクリックし、「 削除 」を選択します。
  6. 確認ダイアログで、 [削除の確認] をクリックします。

グループの役割を管理する

備考

プレビュー

この機能は パブリック プレビュー段階です。

アカウント 管理者は、アカウント コンソールでグループの役割を付与でき、ワークスペース管理者は [ワークスペース管理者設定] ページを使用してグループの役割を管理できます。 ワークスペース管理者ではないグループ マネージャーは、 アカウント アクセス制御 APIを使用してグループの役割を管理できます。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ]タブで、グループ名を見つけてクリックします。
  4. 権限 」タブをクリックします。
  5. [ アクセス権を付与 ] をクリックします。
  6. ユーザー、サービスプリンシパル、またはグループを検索して選択し、 グループ:マネージャー ロールを選択します。
  7. 保存 をクリックします。

アカウント管理者の役割をグループに割り当てる

アカウント コンソールを使用してグループにアカウント admin ロールを割り当てることはできませんが、アカウント グループ APIを使用してグループに割り当てることはできます。例えば:

Bash
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

JSON
{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

アカウント グループ APIへの認証方法については、「Databricks リソースへのアクセスを許可する」を参照してください。

親グループの表示

  1. ワークスペース管理者として、Databrickワークスペースにログインします。
  2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
  3. [ IDとアクセス ] タブをクリックします。
  4. [グループ] の横にある [管理] をクリックします。
  5. 表示するグループを選択します。
  6. [親グループ ] タブで、グループの親グループを表示します。

Databricks アカウントからグループを削除する

アカウント 管理者は、 Databricks アカウントからグループ を削除できます。 グループ マネージャーは、 アカウント グループ APIを使用してアカウントからグループ を削除することもできます (「APIを使用してグループを管理する」を参照してください。アカウントコンソールを使用してグループを削除する場合は、アカウントに設定されている SCIM プロビジョニングコネクタまたは SCIM API アプリケーションを使用してグループも削除する必要があります。そうしないと、SCIM プロビジョニングは、次回の同期時にグループとそのメンバーを再び追加するだけです。「SCIM を使用した ID プロバイダーからのユーザーとグループの同期」を参照してください。

important

グループを削除すると、そのグループに所属するすべてのユーザーがアカウントから削除され、それまでアクセスできていたワークスペースへのアクセス権を失います(別のグループのメンバーであるか、アカウントまたはワークスペースへのアクセス権が直接付与されている場合を除く)。アカウント内のすべてのワークスペースにアクセスできなくする場合を除き、サービスプリンシパルのアカウントレベルの削除は避けることを推奨します。ユーザーを削除すると次のような影響が生じることに注意してください。

  • ユーザーが生成したトークンを使用するアプリケーションまたはスクリプトは、 Databricks APIs.
  • ユーザーが所有するジョブは失敗します。
  • ユーザーが所有するクラスタリングが停止します。
  • そのユーザーがインストールしたライブラリは無効であるため、再インストールする必要があります。
  • ユーザーが作成し、所有者として実行資格情報を使用して共有されたクエリまたはダッシュボードは、共有が失敗するのを防ぐために、新しい所有者に割り当てる必要があります。

アカウントコンソールを使ってグループを削除するには、次の手順を実行します。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ グループ ] タブで、削除するグループを選択します。
  4. ユーザー行の右端にあるケバブメニューケバブメニューをクリックし、[ 削除 ]を選択します。
  5. 確認ダイアログボックスで、[ 削除を確認 ] をクリックします。

API を使用したグループの管理

アカウント管理者、ワークスペース管理者、およびグループマネージャーは、アカウントグループAPIを使用して、Databricksアカウント内のグループを追加、削除、管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります。

  • アカウント管理者は{account-domain}/api/2.1/accounts/{account_id}/scim/v2/を使用します。
  • ワークスペース管理者とグループマネージャーは{workspace-domain}/api/2.0/account/scim/v2/を使用します。

詳細については、「アカウントグループAPI」を参照してください。

アカウント管理者とワークスペース管理者は、ワークスペース割り当てAPIを使用して、IDフェデレーションが有効になっているワークスペースにグループを割り当てることができます。ワークスペース割り当てAPIは、Databricksアカウントとワークスペースを介してサポートされます。

  • アカウント管理者は{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignmentsを使用します。
  • ワークスペース管理者は{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}を使用します。

ワークスペース割り当てAPI」を参照してください。

API を使用してグループの役割を管理する

備考

プレビュー

この機能は パブリック プレビュー段階です。

グループ管理者は、アカウントアクセスコントロールAPIを使用してグループのロールを管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります。

  • アカウント管理者は{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-rolesを使用します。
  • ワークスペース管理者とグループマネージャーは{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-rolesを使用します。

アカウントアクセスコントロールAPI、およびアカウントアクセスコントロールワークスペースプロキシAPI を参照してください。

グループを管理するための API の例

次の例は、ワークスペース管理者が アカウント グループ APIワークスペースの割り当て API を使用してグループを管理する方法を示しています。 ワークスペース管理者は、 API トークンを使用してワークスペースに認証します。

アカウント グループを作成する

Bash
curl --request POST \
  --location '{workspace-domain}/api/2.0/account/scim/v2/Groups' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "displayName": "<group-name>"
  }'

これにより、新しいアカウント グループのグループ ID が返されます。次の API の例で参照できるように保存してください。

ワークスペースにグループを追加する

次の例では、ワークスペース ユーザー権限を持つグループをワークスペースに追加します。また、 permissions を["ADMIN"]に設定して、グループにワークスペース管理者ロールを付与することもできます。

Bash
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": ["USER"]
  }'

ワークスペースからグループを削除する

次の例では、ワークスペースからグループを削除します。ワークスペースからグループを削除しても、アカウントからはグループは削除されません。

Bash
curl --location --request PUT '{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "permissions": []
  }'

グループにメンバーを追加する

Bash
curl --location --request PATCH '{workspace-domain}/api/2.0/accounts/{account_id}/scim/v2/Groups/{group-id}' \
  --header 'Authorization: Bearer $OAUTH_TOKEN' \
  --header 'Content-Type: application/json' \
  --data '{
    "schemas": [
      "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
      {
        "op": "add",
        "value": {
          "members": [
            {
              "value": "{user-id}"
            }
          ]
        }
      }
    ]
  }'
最終更新