メインコンテンツまでスキップ

ユーザーを管理する

この記事では、Databricksユーザーを追加、更新、削除する方法について説明します。

Databricks ID モデルの概要については、「 DatabricksにおけるID」を参照してください。

ユーザーのアクセスを管理するには、「 認証とアクセス制御」を参照してください。

ユーザーを管理できるのは誰ですか?

Databricksでユーザーを管理するには、 アカウント管理者 または ワークスペース管理者 のいずれかである必要があります。

  • アカウント 管理者は 、ユーザーをアカウントに追加し、管理者ロールを割り当てることができます。 また、ユーザーをワークスペースに割り当て、ワークスペース間でのデータ アクセスを構成することもできます (それらのワークスペースで ID フェデレーションが使用されている限り)。

  • ワークスペース 管理者は、 Databricks ワークスペースにユーザーを追加したり、ワークスペース管理者ロールを割り当てたり、ワークスペース内のオブジェクトや機能へのアクセスを管理したりできます (クラスターの作成や、指定したペルソナベースの環境へのアクセスなど)。 Databricks ワークスペースにユーザーを追加すると、そのユーザーもアカウントに追加されます。

    ワークスペース 管理者 は、ワークスペース内の admins グループのメンバー であり、削除できない予約済みグループです。

ID プロバイダーから Databricks アカウントにユーザーを同期する

アカウント 管理者は、 プロビジョニング コネクタを使用して、ID プロバイダー (IdP) からDatabricks アカウントにユーザーを同期できます。SCIM手順については、「 ユーザーとグループを Databricks アカウントに同期する」を参照してください。

アカウントにユーザーを追加する

アカウント 管理者は、アカウントコンソールを使用して、アカウントにユーザーを追加できます アカウント Databricks 。 この方法は、ワークスペースへの即時アクセスを許可せずにユーザーをアカウントに直接追加する場合に使用します。ユーザーは 50 を超える Databricks アカウントに属することはできません。

  1. アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. [ユーザー] タブで、 [ユーザーの追加] をクリックします。
  4. ユーザーの名前とメールアドレスを入力します。
  5. [ ユーザーを追加 ]をクリックします。

ユーザーを追加した後、必要に応じて、ワークスペース、データおよびコンピュート・リソースへのアクセス権を個別に割り当てる必要があります。

アカウント管理者ロールをユーザーに割り当てる

注記

ユーザー の詳細ページには、ユーザーに直接割り当てられたロールのみが表示されます。グループメンバーシップを通じて継承されたロールはアクティブですが、そのトグルはUIで有効として表示されません。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. ユーザー名を見つけてクリックします。
  4. [ロール] タブで、1 つ以上のロールを選択します。

ワークスペースにユーザーを割り当てる

アカウント 管理者 と ワークスペース 管理者は、アカウント コンソールまたはワークスペース 管理者 設定ページを使用して、サービスプリンシパルを Databricks ワークスペースに割り当てることができます。

アカウントコンソールを使用してユーザーをワークスペースに追加するには、IDフェデレーションに対してワークスペースを有効にする必要があります。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、「 ワークスペース 」をクリックします。
  3. ワークスペース名をクリックします。
  4. [ 権限 ] タブで、[ 権限を追加 ] をクリックします。
  5. ユーザーを検索して選択し、権限レベル(ワークスペース ユーザー または 管理者 )を割り当て、 [保存] をクリックします。

ワークスペースからユーザーを削除する

ユーザーがワークスペースから削除されると、そのユーザーはワークスペースにアクセスできなくなりますが、ユーザーに対する権限は維持されます。 ユーザーが後でワークスペースに再度追加された場合、以前のアクセス許可は回復します。

アカウントコンソールを使用してユーザーをワークスペースから削除するには、IDフェデレーションに対してワークスペースを有効にする必要があります。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、「 ワークスペース 」をクリックします。
  3. ワークスペース名をクリックします。
  4. [権限] タブでユーザーを見つけます。
  5. ユーザー行の右端にあるケバブメニューのアイコン。ケバブメニューをクリックし、[ 削除 ] を選択します。
  6. 確認ダイアログで、 削除の確認 をクリックします。

ワークスペース管理者ロールをユーザーに割り当てる

  1. ワークスペース管理者として、Databricksワークスペースにログインします。
  2. Databricksワークスペースの上部のバーにあるユーザー名をクリックし、 [設定] を選択します。
  3. [ IDとアクセス ] タブをクリックします。
  4. [ ユーザー ] の横にある [ 管理 ] をクリックします。
  5. ユーザーを選択します。
  6. エンタイトルメント管理者アクセス をオンにします。

ワークスペース ユーザーからワークスペース管理者ロールを削除するには、同じ手順を実行しますが、 管理者アクセス トグルをクリアします。

ユーザーの非アクティブ化

ユーザーは、アカウントレベルまたはワークスペースレベルで非アクティブ化できます。

アカウント 管理者は、 Databricks アカウント全体でユーザーを非アクティブ化できます。 非アクティブ化により、ユーザーはアカウント、ワークスペース、または Databricks APIの認証とアクセスができなくなりますが、その権限やオブジェクトは削除されません。 これは、破壊的な行動である除去よりも好ましいです。

非アクティブ化の影響:

  • ユーザーは、 Databricks UI または APIを認証またはアクセスできません。
  • ユーザーが生成したトークンを使用するアプリケーションまたはスクリプトは、Databricks API にアクセスできなくなります。トークンは残りますが、ユーザーが非アクティブ化されている間は認証には使用できません。
  • ユーザーが所有するコンピュート リソースは、引き続き実行されます。
  • ユーザーが作成したスケジュールされたジョブは、新しい所有者に割り当てられない限り失敗します。

再アクティブ化すると、ユーザーは同じ権限でアクセスを再開します。

アカウント 管理者は、 Databricks アカウント全体でユーザーを非アクティブ化できます。 ユーザーがアカウントレベルで非アクティブ化されると、Databricks アカウントまたはアカウント内のワークスペースに対して認証できなくなります。

アカウントコンソールを使用してユーザーを非アクティブ化することはできません。 代わりに、Account Users APIを使います。例えば:

Bash
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Users/{id} \
--header 'Content-type: application/scim+json' \
--data @update-user.json \
| jq .

update-user.json:

JSON
{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
  "Operations": [
    {
      "op": "replace",
      "path": "active",
      "value": [
        {
          "value": "false"
        }
      ]
    }
  ]
}

Databricks アカウントからユーザーを削除する

アカウント 管理者は、 Databricks アカウントからユーザーを削除できます。 ワークスペース管理者は削除できません。アカウントからユーザーを削除すると、そのユーザーはワークスペースからも削除されます。アカウントコンソールを使用してユーザーを削除する場合は、アカウントに設定されている SCIM プロビジョニングコネクタまたは SCIM API アプリケーションを使用してユーザーを削除する必要があります。そうしないと、SCIM プロビジョニングは次回の同期時にユーザーを再度追加します。SCIM を使用した ID プロバイダーからのユーザーとグループの同期を参照してください。

important

ユーザーをアカウントから削除すると、IDフェデレーションが有効になっているかどうかに関係なく、ワークスペースからもそのユーザーが削除されます。アカウント内のすべてのワークスペースにアクセスできなくする場合を除き、ユーザーのアカウントレベルの削除は避けることを推奨します。ユーザーを削除すると次のような影響が生じることに注意してください。

  • ユーザーが生成したトークンを使用するアプリケーションまたはスクリプトは、 Databricks APIにアクセスできなくなります。
  • ユーザーが所有するジョブは失敗します。
  • ユーザーが所有するクラスターが停止します。
  • そのユーザーがインストールしたライブラリは無効であるため、再インストールする必要があります。
  • ユーザーが作成し、所有者として実行資格情報を使用して共有されたクエリまたはダッシュボードは、共有が失敗するのを防ぐために、新しい所有者に割り当てる必要があります。

ユーザーがアカウントから削除されると、そのユーザーはアカウントやワークスペースにアクセスできなくなりますが、ユーザーに対する権限は維持されます。 ユーザーが後でアカウントに再度追加されると、以前の権限が回復します。

アカウントコンソールを使ってユーザーを削除するには、次の手順を実行します。

  1. アカウント管理者として、アカウントコンソールにログインします。
  2. サイドバーで、[ ユーザー管理 ] をクリックします。
  3. ユーザー名を見つけてクリックします。
  4. ユーザー情報 ]タブで、右上にあるケバブメニューのアイコン。ケバブメニューをクリックし、[ 削除 ]を選択します。
  5. 確認ダイアログで、 [削除の確認] をクリックします。

API を使用してユーザーを管理する

アカウント管理者とワークスペース管理者は、Databricks APIを使用してDatabricksアカウントとワークスペースのユーザーを管理できます。

API を使用してアカウント内のユーザーを管理する

管理者は、アカウントユーザーAPIを使用して、Databricksアカウントにユーザーを追加し、管理できます。アカウント管理者とワークスペース管理者は、別のエンドポイントURL使用してAPIを呼び出します:

  • アカウント管理者は{account-domain}/api/2.1/accounts/{account_id}/scim/v2/を使用します。
  • ワークスペース管理者は{workspace-domain}/api/2.0/account/scim/v2/を使用します。

詳細については、「アカウントユーザーAPI」を参照してください。

API を使用してワークスペース内のユーザーを管理する

アカウント管理者とワークスペース管理者は、ワークスペース割り当てAPIを使用して、IDフェデレーションが有効になっているワークスペースにユーザーを割り当てることができます。ワークスペース割り当てAPIは、Databricksアカウントとワークスペースを介してサポートされます。

  • アカウント管理者は{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignmentsを使用します。
  • ワークスペース管理者は{workspace-domain}/api/2.0/preview/permissionassignments/principals/{user_id}を使用します。

ワークスペース割り当てAPI」を参照してください。

ワークスペースでIDフェデレーションが有効になっていない場合、ワークスペース管理者はワークスペースレベルのAPIを使用してユーザーをワークスペースに割り当てることができます。「ワークスペースユーザー API」を参照してください。

最終更新