グループの管理
この記事では、管理者が Databricks グループを作成および管理する方法について説明します。 Databricks ID モデルの概要については、「 Databricks ID」を参照してください。
グループのアクセスを管理するには、 「認証とアクセス制御」を参照してください。
グループ管理の概要
グループは、ワークスペース、データ、およびその他のセキュリティ保護可能なオブジェクトへのアクセスの割り当てを容易にすることで、ID管理を簡素化します。すべてのDatabricks IDをグループのメンバーとして割り当てることができます。
アカウントグループとワークスペースローカルグループの違い
Databricks には、 アカウント グループとレガシ ワークスペース ローカル グループの概念があります。
アカウント グループ には、 Unity Catalog メタストア内のデータへのアクセス権を付与したり、サービスプリンシパルとグループに対するロールを付与したり、 フェデレーション ワークスペースの ID 権限を付与したりできます。
ワークスペース ローカル グループは レガシ グループです。 これらのグループは、ワークスペース管理者設定ページで ワークスペースローカル として識別されます。 ワークスペース ローカル グループを追加のワークスペースに割り当てたり、 Unity Catalog メタストア内のデータへのアクセス権を付与したりすることはできません。 ワークスペースローカルグループには、アカウントレベルのロールを付与することはできません。 ワークスペース ローカル グループの詳細については、「 ワークスペース ローカル グループの管理 (レガシ)」を参照してください。
各ワークスペースには、 users
と admins
の 2 つのシステムグループがあります。 すべてのワークスペース ユーザーは users
グループのメンバーであり、すべてのワークスペース管理者は admins
グループのメンバーです。 システム グループは、ワークスペース ローカル グループです。 システム・グループは削除できません。
Databricks では、既存のワークスペース ローカル グループをアカウント グループに変換して、 Unity Catalogを使用した一元化されたワークスペースの割り当てとデータ アクセス管理を利用することをお勧めします。 「 ワークスペースローカルグループをアカウントグループに移行する」を参照してください。
アカウントグループを管理できるのは誰ですか?
Databricksでアカウントグループを作成するには、アカウント管理者またはワークスペース管理者である必要があります。ワークスペース管理者がアカウントグループを作成するには、IDフェデレーションワークスペースに属している必要があります。
Databricks でアカウント グループを管理するには、グループに対する グループ マネージャー ロール (パブリック プレビュー) が必要です。 グループマネージャーは、グループのメンバーシップを管理したり、グループを削除したりできます。 また、他のユーザーにグループマネージャーの役割を割り当てることもできます。 アカウント管理者は アカウントコンソールを使用してグループロールを管理でき、ワークスペース管理者は ワークスペース管理者設定ページを使用してグループロールを管理できます。 ワークスペース管理者ではないグループマネージャーは、 アカウントアクセス制御APIを使用してグループロールを管理できます。
アカウント管理者はアカウントレベルのグループ管理者ロールを持ちます。これは、アカウント内の全てのグループのグループ管理者ロールを持つことを意味します。ワークスペース管理者は、作成したアカウントグループに対しグループマネージャーのロールを持ちます。
ワークスペース管理者は、ワークスペースローカルグループを作成・管理することもできます。
IDプロバイダーからグループをDatabricksアカウントに同期する
SCIM プロビジョニング コネクタを使用して、ID プロバイダー (IdP) から Databricks アカウントにグループを同期できます。 手順については、「 Databricks アカウントに ID をプロビジョニングする」を参照してください。
重要
ID をワークスペースに直接同期する SCIM コネクタが既にある場合は、アカウント レベルの SCIM コネクタが有効になっているときに、それらの SCIM コネクタを無効にする必要があります。 「 ワークスペース レベルの SCIM プロビジョニングをアカウント レベルに移行する」を参照してください。
アカウントコンソールを使用してアカウントグループを管理する
アカウント管理者は、 アカウント コンソールを使用して Databricks アカウントにグループを追加および管理できます。 ワークスペース管理者とグループ マネージャーは、ワークスペース設定ページと Databricks APIsを使用してグループを管理できます。 「 ワークスペース管理者設定ページを使用してアカウント グループを管理する 」および 「API を使用してアカウント グループを管理する」を参照してください。
アカウントコンソールを使用してグループをアカウントに追加する
アカウントコンソールを使用してアカウントにグループを追加するには、次の手順を実行します。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、「ユーザー管理」をクリックします。
[グループ] タブで、[グループの追加] をクリックします。
グループの名前を入力します。
「確認」をクリックします。
プロンプトが表示されたら、ユーザー、サービスプリンシパル、およびグループをグループに追加します。
アカウントコンソールを使用してグループにメンバーを追加する
アカウントコンソールを使用してユーザー、サービスプリンシパル、およびグループをグループに追加するには、次の手順を実行します。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、「ユーザー管理」をクリックします。
[グループ] タブで、更新するグループを選択します。
[メンバーを追加]をクリックします。
追加したいユーザー、グループ、サービスプリンシパルを検索し、選択します。
「追加」をクリックします。
注:
アカウントからグループを更新してからワークスペースでグループが更新されるまでに数分の遅延があります。
アカウントコンソールを使用してグループのロールを管理する
プレビュー
この機能は パブリックプレビュー版です。
アカウント管理者は、アカウントコンソールでアカウントグループにロールを付与できます。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、「ユーザー管理」をクリックします。
[グループ]タブで、グループ名を見つけてクリックします。
[権限] タブをクリックします。
[アクセス権を付与] をクリックします。
ユーザー、サービスプリンシパル、またはグループを検索して選択し、グループ:マネージャーロールを選択します。
[保存]をクリックします。
グループ名を変更する
アカウント管理者は、アカウントコンソールを使用してアカウントグループの名前を更新できます:
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、「ユーザー管理」をクリックします。
[グループ] タブで、更新するグループを選択します。
[グループ情報]をクリックします。
[名前]で名前を更新します。
[保存]をクリックします。
グループ管理者は、アカウントコンソールを使用してグループ名を変更することはできません。代わりに、アカウントグループAPIを使用してください。例:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
{
"op": "replace",
"path": "displayName",
"value": "<updated-name>"
}
}
]
}
アカウント グループ API に対する認証方法については、「 Databricks 自動化の認証 - 概要」を参照してください。
アカウントコンソールを使用してグループをワークスペースに割り当てる
アカウントコンソールを使用してワークスペースにグループを追加するには、ワークスペースで ID フェデレーションを有効にする必要があります。アカウントグループのみがワークスペースに割り当てることができます。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ワークスペース] をクリックします。
ワークスペース名をクリックします。
[権限] タブで、[権限を追加] をクリックします。
グループを検索して選択し、権限レベル(ワークスペースユーザーまたは管理者)を割り当て、[保存]をクリックします。
アカウントコンソールを使用してワークスペースからグループを削除する
アカウント コンソールを使用してワークスペースからグループを削除するには、ワークスペースで ID フェデレーションを有効にする必要があります。アカウントコンソールを使用してワークスペースから削除できるのは、アカウントグループのみです。
アカウントグループがワークスペースから削除されると、グループメンバーはワークスペースにアクセスできなくなりますが、グループに対する権限は維持されます。 グループが後でワークスペースに再度追加されると、グループは以前のアクセス許可を取り戻します。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、[ワークスペース] をクリックします。
ワークスペース名をクリックします。
[ アクセス許可 ] タブで、グループを見つけます。
グループ行の右端にあるケバブメニューをクリックし、[削除]を選択します。
確認ダイアログで、[削除の確認]をクリックします。
アカウント管理者ロールをグループに割り当てる
アカウントコンソールを使用してアカウント管理者またはマーケットプレイス管理者ロールをグループに割り当てることはできませんが、アカウントグループAPIを使用してグループに割り当てることはできます。例:
curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.0/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json
:
{
"schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
"Operations": [
{
"op": "add",
"path": "roles",
"value": [
{
"value": "account_admin"
}
]
}
]
}
アカウント グループ API に対する認証方法については、「 Databricks 自動化の認証 - 概要」を参照してください。
Databricksアカウントからグループを削除する
アカウント管理者は、Databricks アカウントからグループを削除できます。 グループ マネージャーは、Account Groups API を使用してアカウントからグループを削除することもできます( API を使用したアカウント グループの管理をご覧ください)。
重要
グループを削除すると、そのグループに所属するすべてのユーザーがアカウントから削除され、それまでアクセスできていたワークスペースへのアクセス権を失います(別のグループのメンバーであるか、アカウントまたはワークスペースへのアクセス権が直接付与されている場合を除く)。アカウント内のすべてのワークスペースにアクセスできなくする場合を除き、サービスプリンシパルのアカウントレベルの削除は避けることを推奨します。ユーザーを削除すると次のような影響が生じることに注意してください。
このユーザーによって生成されたトークンを使うアプリケーションまたはスクリプトはDatabricks APIにアクセスできなくなります。
ユーザーが所有するジョブは失敗になります。
ユーザーが所有するクラスターが停止します。
このユーザーによって作成された、[所有者として実行] 資格情報を使用して共有されているクエリーまたはダッシュボードは、共有が失敗しないように新しい所有者に割り当てる必要があります。
アカウントコンソールを使ってグループを削除するには、次の手順を実行します。
アカウント管理者として、アカウントコンソールにログインします。
サイドバーで、「ユーザー管理」をクリックします。
[グループ] タブで、削除するグループを選択します。
ユーザー行の右端にあるケバブ メニューをクリックし 、[削除] を選択します。
確認ダイアログボックスで、[削除を確認] をクリックします。
アカウントコンソールを使用してグループを削除する場合は、そのアカウントに設定されているSCIMプロビジョニングコネクタまたはSCIM APIアプリケーションを使用してグループも削除する必要があります。これを行わない場合、SCIMプロビジョニングは次回の同期時にグループとそのメンバーを追加し直します。「IDプロバイダーからユーザーとグループを同期する」を参照してください。
API を使用して Databricks アカウントからグループを削除するには、「 Databricks アカウントへの ID のプロビジョニング 」および 「アカウント グループ API」を参照してください。
ワークスペース管理者設定ページを使用してアカウントグループを管理する
ワークスペース管理者は、ワークスペース管理設定ページを使用して、IDフェデレーションワークスペースでアカウントグループを作成および管理できます。
注:
ワークスペースからアカウントグループを更新してから、アカウント内のグループが更新されるまでに数分の遅延があります。
ワークスペースにワークスペース ローカル グループを作成する方法については、「 ワークスペース ローカル グループの管理 (レガシ)」を参照してください。
ワークスペース管理設定ページを使用して、グループを作成するかワークスペースに割り当てる
ワークスペース管理者設定ページを使用してワークスペースにアカウントグループを割り当てる、または作成するには、次の手順を実行します。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[ ID とアクセス ] タブをクリックします。
[グループ] の横にある [管理] をクリックします。
[グループを追加]をクリックします。
ワークスペースに割り当てる既存のグループを選択するか、[ 新規追加 ] をクリックして新しいアカウント グループを作成します。
注:
ワークスペースで ID フェデレーションが有効になっていない場合、既存のアカウントグループを割り当てたり、ワークスペースにアカウントグループを作成したりすることはできません。 代わりにワークスペース ローカル グループを使用する必要があります (「 ワークスペース ローカル グループの管理 (レガシ)」を参照してください。
ワークスペース管理者設定ページを使用してグループにメンバーを追加する
ワークスペース管理者設定ページを使用してユーザー、サービスプリンシパル、およびグループをアカウントグループに追加するには、ワークスペース管理者である必要があります。管理できるのは、自分がグループ管理者ロールを持つグループのメンバーだけです。
注:
admins
グループに子グループを追加することはできません。ワークスペースローカルグループまたはシステムグループをアカウントグループのメンバーとして追加することはできません。
ワークスペース管理者ではないグループマネージャーは、 アカウント Groups API を使用してグループ メンバーシップを管理する必要があります。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[ ID とアクセス ] タブをクリックします。
[グループ] の横にある [管理] をクリックします。
更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。
[ メンバー ] タブで、[ メンバーの追加] をクリックします。
ダイアログで、追加したいユーザー、サービスプリンシパル、グループを参照または検索し、選択します。
「確認」をクリックします。
ワークスペース管理者設定ページを使用してアカウントグループのロールを管理する
プレビュー
この機能は パブリックプレビュー版です。
ユーザ、アカウントグループ、サービスプリンシパルにグループマネージャーロールを割り当てることができます。グループマネージャーはグループのメンバーシップを管理できます。また、グループマネージャーロールを他のユーザーに割り当てることもできます。
ワークスペース管理者の設定ページを使用してグループのロールを管理するには、ワークスペース管理者である必要があります。ワークスペース管理者ではないグループマネージャーは、 アカウントアクセスコントロールAPIを使用してグループのロールを管理できます。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[ ID とアクセス ] タブをクリックします。
[グループ] の横にある [管理] をクリックします。
更新するグループを選択します。 グループを更新するには、グループマネージャーロールが必要です。
[権限] タブをクリックします。
[アクセス権を付与] をクリックします。
ユーザー、サービスプリンシパル、またはグループを検索して選択し、グループ:マネージャーロールを選択します。
注:
アカウントグループにワークスペースローカルグループまたはシステムグループロールを割り当てることはできません。
[保存]をクリックします。
親グループを表示する
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[ ID とアクセス ] タブをクリックします。
[グループ] の横にある [管理] をクリックします。
表示するグループを選択します。
[ 親グループ] タブで、グループの親グループを表示します。
ワークスペース管理者設定ページを使用してワークスペースからグループを削除する
ワークスペースからグループを削除しても、アカウント内のグループは削除されません。 グループがワークスペースから削除されると、グループ メンバーはワークスペースにアクセスできなくなりますが、グループに対するアクセス許可は維持されます。 グループが後でワークスペースに再度追加されると、グループは以前のアクセス許可を取り戻します。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
[ ID とアクセス ] タブをクリックします。
[グループ] の横にある [管理] をクリックします。
グループを選択し、[x 削除] をクリックします
[削除] をクリックして確定します。
APIを使用してアカウントグループを管理する
アカウント管理者、ワークスペース管理者、およびグループマネージャーは、アカウントグループAPIを使用して、Databricksアカウント内のグループを追加、削除、管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります:
アカウント管理者は
{account-domain}/api/2.0/accounts/{account_id}/scim/v2/
を使用します。ワークスペース管理者とグループマネージャーは
{workspace-domain}/api/2.0/account/scim/v2/
を使用します。
詳細については、「アカウントグループAPI」を参照してください。
APIを使用してグループをワークスペースに割り当てる
アカウント管理者とワークスペース管理者は、ワークスペース割り当てAPIを使用して、IDフェデレーションが有効になっているワークスペースにグループを割り当てることができます。ワークスペース割り当てAPIは、Databricksアカウントとワークスペースを介してサポートされます。
アカウント管理者は
{account-domain}/api/2.0/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments
を使用します。ワークスペース管理者は
{workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}
を使用します。
「ワークスペース割り当てAPI」を参照してください。
APIを使用してグループのロールを管理する
プレビュー
この機能は パブリックプレビュー版です。
グループ管理者は、アカウントアクセスコントロールAPIを使用してグループのロールを管理できます。アカウント管理者、ワークスペース管理者、およびグループマネージャーは、別のエンドポイントURLを使用してAPIを呼び出す必要があります。
アカウント管理者は
{account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles
を使用します。ワークスペース管理者とグループマネージャーは
{workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles
を使用します。
アカウントアクセスコントロールAPI、およびアカウントアクセスコントロールワークスペースプロキシAPI を参照してください。