メインコンテンツまでスキップ

Databricks アプリのアクセス許可を構成する

アクセス許可は、アプリへのアクセス、管理、共有など、ユーザーが Databricks アプリで実行できる操作を制御します。これは、ユーザーの ID を確認する認証とは異なります。権限は、ユーザーがアプリ内で実行できるアクションを決定します。

アクセス許可レベル

  • IS OWNER - アプリの編集、権限の管理、削除など、アプリを完全に制御できます。
  • CAN MANAGE - アプリの設定と権限を管理できますが、所有者でない限りアプリを削除することはできません。
  • CAN USE - アプリを実行して操作することはできますが、変更や管理はできません。

IS OWNERまたはCAN MANAGEの権限を持つユーザーのみが、アプリに対する権限を割り当てたり取り消したりできます。

Databricks アプリの UI でアクセス許可を割り当てる

Databricks アプリの UI で直接権限を割り当てることで、Databricks アプリを表示、実行、または変更できるユーザーを管理します。

  1. アプリの詳細ページに移動します。
  2. 権限 」タブをクリックします。
  3. ユーザー、グループ、サービスプリンシパルを選択... ドロップダウンを使用して、ユーザー、グループ、またはサービスプリンシパルを選択します。
  4. 適切な権限レベル (CAN USECAN MANAGE、または IS OWNER) を選択します。
  5. 追加 をクリックし、 保存 をクリックして変更を適用します。

アクセス許可と承認

Databricks Apps では、関連しているが異なる概念である アクセス許可承認 を区別することが重要です。

  • アクセス許可 はワークスペース レベルで割り当てられ、ワークスペース内でアプリを管理または使用できるユーザーを定義します。アクセス許可は、アプリをデプロイ、更新、実行できるユーザーなど、アプリ自体へのアクセスを制御します。権限は、アプリやそのユーザーがアクセスできるデータを制御するものではありません。

  • 承認 とは、データとリソースへのアクセスを制御することを指し、次の 2 つのサブカテゴリがあります。

    • ユーザー認証 - ユーザーがアプリに対して認証されると、Databricks はユーザーの ID をアプリ ランタイムに転送します。これにより、Unity Catalog やその他のデータ アクセス ポリシーで、ユーザーの ID に基づいてアクセス許可を適用し、アプリがユーザーに代わってアクセスできるデータを制限できます。
    • アプリの承認 - 必要な Databricks リソースにアクセスするための独自のアクセス許可を持つサービスプリンシパルを使用して実行されるアプリ。 この承認は、アプリ自体がユーザーに関係なく実行できる操作を管理します。

要約すると、権限はアプリへのワークスペース レベルのアクセス (アプリを使用または管理できるユーザー) を制御し、承認は、ユーザー ID ベースのアクセスとアプリ サービスプリンシパル アクセスの両方を含むデータ レベルとリソースのアクセスを制御します。

詳細については、「Databricksアプリで承認を構成する」を参照してください。

おすすめの方法

次のベスト プラクティスに従って、Databricks アプリのアクセス許可を安全に管理します。

  • 最小特権の原則に従って、各ユーザーのロールに必要なアクセス許可のみを付与します。
  • ユーザーが管理機能を必要としない限り CAN USE 権限を割り当てることを優先します。
  • グループまたはサービスプリンシパルを使用して、権限を大規模に効率的に管理します。