Databricks管理の概要
この記事では、Databricks管理者の権限と責任の概要について説明します。
注
Databricksインスタンスを完全に管理するには、AWSアカウントの管理者権限も必要です。
Databricks管理者の種類
Databricks プラットフォームで使用できる管理者特権には、主に次の 2 つのレベルがあります。
アカウント管理者:ワークスペースの作成、ユーザー管理、クラウドリソース、アカウント使用状況の監視など、Databricksアカウントを管理します。
ワークスペース管理者:アカウント内の個々のワークスペースのワークスペースID、アクセス制御、設定、機能を管理します。
さらに、ユーザーには、より狭い権限セットを持つこれらの機能固有の管理者ロールを割り当てることができます。
Marketplace 管理者:Marketplace リストの作成と管理など、アカウントの Databricks Marketplace プロバイダー プロファイルを管理します。
メタストア管理者:カタログを作成したり、テーブルをクエリーしたりできるユーザーなど、Unity Catalog メタストア内のすべてのセキュリティ保護可能なオブジェクトの権限と所有権を管理します。
アカウント管理者とは
アカウント管理者は、Databricksアカウント全体に対する権限を持ちます。アカウント管理者は、ワークスペースの作成、クラウドリソースの設定、使用状況データの閲覧、アカウントID、設定、サブスクリプションの管理を行うことができます。
アカウント管理者は、アカウント管理者とワークスペース管理者の役割を他のユーザーに委任することもできます。
アカウントコンソールにアクセスする
アカウントコンソールは、アカウント管理者がDatabricksアカウントを管理する場所です。
アカウント管理者は、 https://accounts.cloud.databricks.com から、またはワークスペース UI の上部にある Eメール アドレスをクリックして [アカウントの管理] を選択することで、アカウント コンソールにアクセスできます。
アカウント管理者の責任
アカウント管理者としての責任は次のとおりです。
ワークスペースの作成と管理
新しいワークスペースを作成できるのは、アカウント管理者のみです。ワークスペースを作成する方法はいくつかあります。各方法については、「ワークスペースの作成と管理」を参照してください。アカウントコンソールの [ワークスペース] セクションを使用して、アカウント内のすべてのワークスペースを表示および管理することもできます。
Unity Catalogの有効化
注
Databricks アカウントが 2023 年 11 月 8 日以降に作成された場合、ワークスペースで Unity Catalog がデフォルトで有効になっている可能性があります。 詳細については、「 Unity Catalog の自動有効化」を参照してください。
アカウントでUnity Catalogを有効にするには、アカウント管理者である必要があります。このプロセスには、アカウント管理者のみが実行できるUnity Catalogメタストアの作成が含まれます。
Unity Catalogを有効にする手順については、「Unity Catalogの使用を開始する」を参照してください。
IDの管理
アカウント管理者は、IDプロバイダーをDatabricksと同期する必要があります(該当する場合)。「IDプロバイダーからユーザーとグループを同期する」を参照してください。
アカウント内の1つ以上のワークスペースでUnity Catalogを有効にしている場合は、ID(ユーザー、グループ、およびサービスプリンシパル)をアカウントコンソールで管理する必要があります。アカウント管理者は、これらのIDに権限を付与し、ワークスペースを割り当てることができます。
詳細については、「ユーザーとグループを管理する」を参照してください。
シングル サインオン (SSO) を使用すると、組織の ID プロバイダーを使用してユーザーを認証できます。 Databricks では、セキュリティを強化し、ユーザー エクスペリエンスを向上させるために、アカウントで SSO を構成することをお勧めします。 SSO を構成したら、ID プロバイダーを介して多要素認証を有効にできます。 手順については、「 SSO の設定」を参照してください。
システムテーブルを使用してアカウントを監視する
システムテーブルは、 system
カタログにあるアカウントの運用データの Databricks がホストする分析ストアです。 アカウント管理者は、システムテーブルを有効にして監査ログ、課金利用ログ、リネージ データなどにアクセスできます。 「システムテーブルによる使用状況の監視」を参照してください。
アカウントサブスクリプションの管理
アカウント管理者は、アカウントコンソールからDatabricksサブスクリプションを管理できます。詳細については、「サブスクリプションと請求を管理する」を参照してください。
ワークスペース管理者とは
ワークスペース管理者は、1 つのワークスペース内で管理者権限を持ちます。 ワークスペース レベルの ID の管理、コンピュートの使用の規制、役割ベースのアクセス制御の有効化と委任を行うことができます (Premium プラン以上 のみ)。
ワークスペース管理者の責任
ワークスペース管理者としての責任は次のとおりです。
ワークスペース内のIDの管理
ワークスペースで Unity Catalogが有効になっている場合は、アカウント レベルで ID を追加する必要があります。ワークスペース管理者は、ユーザー、グループ、およびサービスプリンシパルをワークスペースに割り当てることができます。 ワークスペースでの ID の追加と削除の詳細については 、「ユーザー、サービスプリンシパル、およびグループの管理」を参照してください。
注
Databricks Academyには、ID管理に関する無料コースがあります。 コースにアクセスする前に、まず Databricks Academy に登録する必要があります (まだ登録していない場合)。
コンピュートリソースの作成と管理
ワークスペース管理者は、ワークスペース ユーザーのために SQLウェアハウス (Databricks SQL 内のデータ オブジェクトに対して SQL コマンドを実行できるコンピュート リソース) とクラスターを作成できます。 SQLウェアハウスの作成手順については、 「SQLウェアハウスの作成」を参照してください。
また、ワークスペースでのコンピュートリソースの用途を制限するのもワークスペース管理者の仕事です。ワークスペース管理者は、次のツールを利用できます。
クラスターポリシーを使用して、ワークスペースユーザーのクラスター作成オプションを制限します。
Databricks では、すべての initスクリプトをクラスター スコープの initスクリプトとして管理することをお勧めします。 グローバル initスクリプトを使用する代わりに、クラスターポリシーを使用して init scipts を管理します。
どのコンピューティングリソースにUnity Catalogアクセス権があるかを把握します。
インスタンスプロファイルを使用して、クラスターを介した S3 バケットアクセスを許可します。
注
Databricks Academyには、コンピュートリソースの管理に関する無料コースがあります。
ワークスペースの機能と設定の管理
ワークスペース管理者は、選択したワークスペースの動作と設定を管理する責任があります。 その他の使用可能なワークスペース設定については、「 ワークスペース設定の管理」を参照してください。
注
Databricks Academyには、 Databricks Workspaceの管理とセキュリティに関する無料コースがあります。
関連リソース
Databricks Academyには、プラットフォーム管理者向けの無料の自習型ラーニングパスがあります。コースにアクセスする前に、まず Databricks Academy に登録 する必要があります (まだ登録していない場合)。
登録してライブプラットフォーム管理トレーニングに参加することもできます。