Databricks でのインスタンスプロファイルの管理

この記事では、Databricksでアクセスを管理し、インスタンスプロファイルを更新する方法について説明します。

インスタンスプロファイルへのアクセスを管理する

クラスターをデプロイするアクセス許可を持つユーザーは、割り当てられたインスタンスプロファイルのいずれかを使用してクラスターをデプロイできます。 クラスターへのアクセス権を持つすべてのユーザーは、インスタンスプロファイルで定義されているアクセス許可を取得します。 「 インスタンスプロファイル」を参照してください。

SQLウェアハウスは、ワークスペースごとに単一のインスタンスを使用します。 「データ アクセス構成を有効にする」を参照してください。その後、 Hive metastoreアクセス コントロールを使用して、きめ細かいアクセス許可を得ることができます。

注:

Hive metastoreテーブルアクセスコントロールは、従来のデータガバナンスモデルです。Databricksでは、そのシンプルさとアカウント中心のガバナンスモデルであるという理由から、代わりにUnity Catalogを使用することを推奨しています。Hive metastoreによって管理されるテーブルをUnity Catalogメタストアにアップグレードできます。

管理設定ページを使用してインスタンスプロファイルへのアクセスを管理する

  1. ワークスペース管理者として、 管理者設定ページに移動します。

  2. [インスタンスプロファイル]タブをクリックします。

  3. 更新するインスタンスプロファイルを選択します。

  4. インスタンスプロファイルの詳細の下にあるドロップダウンで、ユーザー、グループ、またはサービスプリンシパルを選択または入力します:

    ユーザーを追加する
  5. 追加」をクリックします。

あるいは、インスタンスプロファイルをグループに直接割り当てることもできます。

  1. ワークスペース管理者として、 管理者設定ページに移動します。

  2. [ ID とアクセス ] タブをクリックします。

  3. [グループ] の横にある [管理] をクリックします。

  4. 更新するグループを選択します。

  5. [インスタンスプロファイル]タブで、 [+ Add Instance Profiles to group]をクリックします。

  6. [インスタンスプロファイルの追加]ダイアログで、下矢印をクリックしてインスタンスプロファイルのドロップダウンリストを表示し、追加するものを選択します。

  7. 下矢印をクリックすると、ドロップダウンリストが非表示になります。

  8. 追加」をクリックします。

APIを使用してインスタンスプロファイルへのアクセスを管理する

ワークスペース管理者は、ユーザー、サービスプリンシパル、グループのワークスペースレベルのSCIM APIを使用して、インスタンスプロファイルへのアクセスを管理できます。

たとえば、グループにインスタンスプロファイルへのアクセスを許可するには、次のパターンを使用します。

curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "add",
          "path": "roles",
          "value": "<instance-profile-role-arn>"
      }
    }
  ]
}

以下のように置き換えてください。

  • <group-id> をグループのIDに置き換えます。

  • <instance-profile-role-arn> をインスタンスプロファイルロールの Amazon リソース名(ARN)に置き換えます(例:arn:aws:iam::123456789012:instance-profile/my-role)。

完全な API リファレンスについては、ワークスペースグループ APIワークスペースユーザー API、およびワークスペースサービスプリンシパル API を参照してください。

インスタンスプロファイルロールARNを編集する

すでに作成したインスタンスプロファイルは後で編集できますが、別のIAMロールARNを指定する場合に限られます。このステップは、Databricks SQL Serverlessが、ロール名(ロールARNの最後のスラッシュ以降のテキスト)とインスタンスプロファイル名(インスタンスプロファイルARNの最後のスラッシュ以降のテキスト)が一致しないインスタンスプロファイルを扱う際に必要です。関連情報については、「サーバーレスSQLウェアハウスを有効にする」を参照してください。

  1. 管理者設定ページに移動します。

  2. [ セキュリティ ] タブをクリックします。

  3. [インスタンスプロファイル] の横にある [管理] をクリックします。

  4. 編集するインスタンスプロファイルの名前をクリックします。

  5. [編集] をクリックします。ダイアログが表示されます。

    インスタンスプロファイルロールARNを編集する

    [IAMロールARN] フィールドを編集し、インスタンスプロファイルに関連付けられたロールARNを貼り付けます。管理者はこの値をAWSコンソールから取得できます。

  6. [保存]をクリックします。