Databricksでのインスタンスプロファイルの管理

この記事では、Databricksでアクセスを管理し、インスタンスプロファイルを更新する方法について説明します。

インスタンスプロファイルへのアクセスを管理する

クラスターをデプロイする権限を持つユーザーは、割り当てられたインスタンス プロファイルのいずれかを使用してクラスターをデプロイできます。 クラスターへのアクセス権を持つすべてのユーザーには、Instance プロファイルで定義された権限が付与されます。 インスタンスプロファイルを参照してください。

SQL ウェアハウスは、ワークスペースごとに 1 つのインスタンス プロファイルを使用します。 「データ アクセス構成を有効にする」を参照してください。その後、きめ細かい権限を設定するためにHive metastoreテーブルアクセスコントロールを使用できます。

注:

Hive metastoreテーブルアクセスコントロールは、従来のデータガバナンスモデルです。Databricksは、シンプルさとアカウント中心のガバナンスモデルを理由に、代わりにUnity Catalogを使用することを推奨します。Hive metastoreによって管理されるテーブルをUnity Catalogメタストアにアップグレードできます。

管理設定ページを使用してインスタンスプロファイルへのアクセスを管理する

  1. ワークスペース管理者として、設定ページに移動します。

  2. [インスタンスプロファイル] タブをクリックします。

  3. 更新するインスタンスプロファイルを選択します。

  4. インスタンスプロファイルの詳細の下にあるドロップダウンで、ユーザー、グループ、またはサービスプリンシパルを選択または入力します:

    ユーザーを追加する

  5. [追加] をクリックします。

あるいは、インスタンスプロファイルをグループに直接割り当てることもできます。

  1. ワークスペース管理者として、設定ページに移動します。

  2. [IDとアクセス]タブをクリックします。

  3. [グループ]の横にある[管理] をクリックします。

  4. 更新するグループを選択します。

  5. [インスタンスプロファイル]タブで、 [+ Add Instance Profiles to group]をクリックします。

  6. [インスタンスプロファイルの追加]ダイアログで、下矢印をクリックしてインスタンスプロファイルのドロップダウンリストを表示し、追加するものを選択します。

  7. 下矢印をクリックすると、ドロップダウンリストが非表示になります。

  8. [追加] をクリックします。

APIを使用してインスタンスプロファイルへのアクセスを管理する

ワークスペース管理者は、ユーザー、サービスプリンシパル、グループのワークスペースレベルのSCIM APIを使用して、インスタンスプロファイルへのアクセスを管理できます。

たとえば、グループにインスタンスプロファイルへのアクセスを許可するには、次のパターンを使用します。

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "add",
          "path": "roles",
          "value": "<instance-profile-role-arn>"
      }
    }
  ]
}

以下のように置き換えてください。

  • <group-id> をグループのIDに置き換えます。

  • <instance-profile-role-arn> をインスタンスプロファイルロールの Amazon リソース名(ARN)に置き換えます(例:arn:aws:iam::123456789012:instance-profile/my-role)。

完全な API リファレンスについては、ワークスペースグループ APIワークスペースユーザー API、およびワークスペースサービスプリンシパル API を参照してください。

インスタンスプロファイルロールARNを編集する

すでに作成したインスタンスプロファイルは後で編集できますが、別のIAMロールARNを指定する場合に限られます。このステップは、Databricks SQL Serverlessが、ロール名(ロールARNの最後のスラッシュ以降のテキスト)とインスタンスプロファイル名(インスタンスプロファイルARNの最後のスラッシュ以降のテキスト)が一致しないインスタンスプロファイルを扱う際に必要です。関連情報については、「サーバーレスSQLウェアハウスを有効にする」を参照してください。

  1. 設定ページに移動します。

  2. [セキュリティ]タブをクリックします。

  3. インスタンスプロファイルの横にある[管理] をクリックします。

  4. 編集するインスタンスプロファイルの名前をクリックします。

  5. [編集] をクリックします。ダイアログが表示されます。

    インスタンスプロファイルロールARNを編集する

    [IAMロールARN] フィールドを編集し、インスタンスプロファイルに関連付けられたロールARNを貼り付けます。管理者はこの値をAWSコンソールから取得できます。

  6. [保存]をクリックします。