Databricks管理の概要
この記事では、Databricks管理者の権限と責任の概要について説明します。
注:
Databricksインスタンスを完全に管理するには、AWSアカウントの管理者権限も必要です。
Databricks管理者の種類
Databricks プラットフォームで利用できる管理者権限には、主に 2 つのレベルがあります。
アカウント管理者:ワークスペースの作成、ユーザー管理、クラウドリソース、アカウント使用状況の監視など、Databricksアカウントを管理します。
ワークスペース管理者:アカウント内の個々のワークスペースのワークスペースID、アクセス制御、設定、機能を管理します。
さらに、ユーザーには、より狭い権限セットを持つ次の機能固有の管理者ロールを割り当てることができます。
Marketplace 管理者:Marketplace リストの作成と管理など、アカウントの Databricks Marketplace プロバイダー プロファイルを管理します。
メタストア管理者:カタログを作成したり、テーブルをクエリーしたりできるユーザーなど、Unity Catalog メタストア内のすべてのセキュリティ保護可能なオブジェクトの権限と所有権を管理します。
お支払い管理者: アカウント全体で予算を表示し、予算ポリシーを管理します。
アカウント管理者とは
アカウント管理者は、Databricksアカウント全体に対する権限を持ちます。アカウント管理者は、ワークスペースの作成、クラウドリソースの設定、使用状況データの閲覧、アカウントID、設定、サブスクリプションの管理を行うことができます。
アカウント管理者は、アカウント管理者とワークスペース管理者の役割を他のユーザーに委任することもできます。
アカウントコンソールにアクセスする
アカウントコンソールは、アカウント管理者がDatabricksアカウントを管理する場所です。
アカウント管理者は、 https://accounts.cloud.databricks.comでアカウント コンソールにアクセスするか、ワークスペース UI の上部にあるワークスペース セレクターをクリックして[アカウントの管理] を選択することでアカウント コンソールにアクセスできます。
アカウント管理者の責任
アカウント管理者としての責任には以下が含まれます。
ワークスペースの作成と管理
新しいワークスペースを作成できるのは、アカウント管理者のみです。ワークスペースを作成する方法はいくつかあります。各方法については、「ワークスペースの作成と管理」を参照してください。アカウントコンソールの [ワークスペース] セクションを使用して、アカウント内のすべてのワークスペースを表示および管理することもできます。
Unity Catalogの有効化
注:
Databricks アカウントが 2023 年 11 月 8 日以降に作成された場合、ワークスペースで Unity Catalog がデフォルトで有効になっている可能性があります。 詳細については、「 Unity Catalog の自動有効化」を参照してください。
アカウントでUnity Catalogを有効にするには、アカウント管理者である必要があります。このプロセスには、アカウント管理者のみが実行できるUnity Catalogメタストアの作成が含まれます。
Unity Catalogを有効にする手順については、「Unity Catalogの使用を開始する」を参照してください。
IDの管理
アカウント管理者は、IDプロバイダーをDatabricksと同期する必要があります(該当する場合)。「IDプロバイダーからユーザーとグループを同期する」を参照してください。
アカウント内の1つ以上のワークスペースでUnity Catalogを有効にしている場合は、ID(ユーザー、グループ、およびサービスプリンシパル)をアカウントコンソールで管理する必要があります。アカウント管理者は、これらのIDに権限を付与し、ワークスペースを割り当てることができます。
詳細については、「ユーザーとグループを管理する」を参照してください。
シングル サインオン (SSO) を使用すると、組織の ID プロバイダーを使用してユーザーを認証できます。 Databricks では、セキュリティを強化し、ユーザー エクスペリエンスを向上させるために、アカウントで SSO を構成することをお勧めします。 SSO が設定されると、ID プロバイダー経由で多要素認証を有効にできます。 手順については、 「SSO の設定」を参照してください。
システムテーブルでアカウントを監視する
システムテーブルは、system
カタログにあるアカウントの運用データの Databricksホスト型分析ストアです。 アカウント 管理者は、システムテーブルが監査ログ、課金利用ログ、リネージデータなどにアクセスできるようにすることができます。 システムテーブルを使用したアカウントアクティビティのモニタリングを参照してください。
アカウントサブスクリプションの管理
アカウント管理者は、アカウントコンソールからDatabricksサブスクリプションを管理できます。詳細については、「サブスクリプションと請求を管理する」を参照してください。
プレビューの管理
自分のワークスペースまたは組織のワークスペースでDatabricksプレビューを管理します。 プレビューでは、一般提供 (GA) のためにリリースされる前に、機能に早期にアクセスできます。 「Databricks プレビューの管理」を参照してください。
ワークスペース管理者とは何ですか?
ワークスペース管理者は、単一のワークスペース内で管理者権限を持ちます。 ワークスペース レベルの ID を管理し、コンピュートの使用を規制し、役割ベースのアクセス制御を有効にして委任することができます (プレミアム プラン以上のみ)。
ワークスペース管理者の責任
ワークスペース管理者としての責任には以下が含まれます。
ワークスペース内のIDの管理
ワークスペースでUnity Catalogが有効になっている場合は、アカウント レベルで ID を追加する必要があります。 ワークスペース管理者は、ユーザー、グループ、およびサービス プリンシパルを自分のワークスペースに割り当てることができます。 ワークスペースでの ID の追加と削除の詳細については、 「ユーザー、サービス プリンシパル、およびグループの管理」を参照してください。
注:
Databricks Academyには、ID管理に関する無料コースがあります。 コースにアクセスする前に、まず Databricks Academy に登録 する必要があります (まだ登録していない場合)。
コンピュートリソースの作成と管理
ワークスペース管理者は、ワークスペースSQL Databricks SQLユーザー用に SQL ウェアハウス ( 内のデータ オブジェクトに対して コマンドを実行できるコンピュート リソース) とクラスターを作成できます。SQLウェアハウスの作成手順については、 「SQLウェアハウスの作成」を参照してください。
また、ワークスペースでのコンピュートリソースの用途を制限するのもワークスペース管理者の仕事です。ワークスペース管理者は、次のツールを利用できます。
クラスターポリシーを使用して、ワークスペースユーザーのクラスター作成オプションを制限します。
Databricks 、すべての init スクリプトをクラスター スコープの init スクリプトとして管理することをお勧めします。 グローバル init スクリプトを使用する代わりに、クラスターポリシーを使用して init スクリプトを管理します。
どのコンピューティングリソースにUnity Catalogアクセス権があるかを把握します。
インスタンス S3プロファイルを使用して 、クラスター 経由で バケットへのアクセスを許可します。
注:
Databricks Academyには、コンピュートリソースの管理に関する無料コースがあります。
ワークスペースの機能と設定の管理
ワークスペース管理者は、特定のワークスペースの動作と設定を管理する責任があります。 利用可能なその他のワークスペース設定の詳細については、 「ワークスペース設定の管理」を参照してください。
注:
Databricks Academyには、 Databricks Workspaceの管理とセキュリティに関する無料コースがあります。
関連リソース
Databricks Academyには、プラットフォーム管理者向けの無料の自習型ラーニングパスがあります。コースにアクセスする前に、まず Databricks Academy に登録 する必要があります (まだ登録していない場合)。
登録してライブプラットフォーム管理トレーニングに参加することもできます。