グループにコンピュートリソースを割り当てる

プレビュー

この機能はパブリックプレビュー段階です。

この記事では、 専用 アクセス モードを使用して、グループに割り当てられたコンピュート リソースを作成する方法について説明します。

専用グループ アクセス モードを使用すると、ユーザーは標準アクセス モード クラスタリングの運用効率を得ると同時に、 Databricks Runtime for ML、 Spark 機械学習ライブラリ (MLlib)、 RDD APIs、R など、標準アクセス モードでサポートされていない言語とワークロードを安全にサポートできます。

専用のグループ クラスタリング パブリック プレビューを有効にすると、ワークスペースから新しい簡略化されたコンピュート UI にもアクセスできるようになります。 この新しい UI では、アクセス モードの名前が更新され、コンピュートの設定が簡略化されます。 シンプルフォームを使用してコンピュートを管理するを参照してください。

要件

専用グループアクセスモードを使用するには:

  • ワークスペース管理者は、プレビュー UI を使用して コンピュート: 専用グループクラスター プレビューを有効にする必要があります。 Databricks プレビューの管理を参照してください。

  • ワークスペースは Unity Catalog に対して有効になっている必要があります。

  • Databricks Runtime 15.4 以降を使用する必要があります。

  • 割り当てられたグループは、グループ クラスタリングで使用されるノートブック、 ML エクスペリメント、およびその他のワークスペース アーティファクトを保持できるワークスペース フォルダーに対するCAN MANAGEアクセス許可を持っている必要があります。

専用アクセスモードとは何ですか?

専用アクセスモードは、シングルユーザーアクセスモードの最新バージョンです。 専用アクセスを使用すると、コンピュート リソースを 1 人のユーザーまたはグループに割り当てて、割り当てられたユーザーのみがコンピュート リソースを使用できるようになります。

ユーザーがグループ専用のコンピュート リソース (a グループ クラスタリング) に接続している場合、ユーザーのアクセス許可は自動的にグループのアクセス許可にダウンスコープされ、ユーザーはリソースをグループの他のメンバーと安全に共有できます。

グループ専用のコンピュートリソースを作成する

  1. Databricksワークスペースで、コンピュートに移動し、コンピュートを作成をクリックします。

  2. 詳細設定セクションを展開します。

  3. アクセス モード手動をクリックし、ドロップダウン メニューから 専用 (旧称: シングルユーザー) を選択します。

  4. シングル ユーザーまたはグループフィールドで、このリソースに割り当てるグループを選択します。

  5. その他の必要なコンピュート設定を構成し、作成をクリックします。

グループ クラスターを管理するためのベスト プラクティス

グループ クラスタリングを使用する場合、ユーザーのアクセス許可はグループに限定されるため、 Databricks グループ クラスタリングで使用する予定のグループごとに/Workspace/Groups/<groupName> フォルダーを作成することをお勧めします。 次に、フォルダに対する CAN MANAGE 権限をグループに割り当てます。 これにより、グループは権限エラーを回避できます。 グループのすべてのノートブックとワークスペース資産は、グループ フォルダーで管理する必要があります。

また、グループ クラスタリングで実行するには、次のワークロードを変更する必要があります。

  • MLflow: ノートブックをグループ フォルダーから実行するか、 mlflow.set_tracking_uri("/Workspace/Groups/<groupName>")を実行してください。

  • AutoML: AutoML の実行で省略可能な experiment_dir パラメーターを “/Workspace/Groups/<groupName>” に設定します。

  • dbutils.notebook.run: グループに、実行中のノートブックに対する READ 権限があることを確認します。

グループ権限の例

グループ クラスタリングを使用してデータ オブジェクトを作成すると、そのグループはオブジェクトの所有者として割り当てられます。

たとえば、ノートブックがグループ クラスタリングにアタッチされていて、次のコマンドを実行するとします。

use catalog main;
create schema group_cluster_group_schema;

次に、次のクエリを実行して、スキーマの所有者を確認します。

describe schema group_cluster_group_schema;
グループ・スキーマの説明例

グループ専用コンピュートのアクティビティの監査

グループ クラスタリングがワークロードを実行する場合、次の 2 つの主要な ID が関係します。

  1. グループ クラスタリングでワークロードを実行しているユーザー

  2. 実際のワークロードアクションの実行にアクセス許可が使用されるグループ

監査ログのシステムテーブルは、これらの ID を次のパラメーターで記録します。

  • identity_metadata.run_by: アクションを実行する認証ユーザー

  • identity_metadata.run_as: アクションに権限が使用される認証グループ。

次のクエリ例では、グループ クラスタリングで実行されたアクションの ID メタデータをプルアップします。

select action_name, event_time, user_identity.email, identity_metadata
from system.access.audit
where user_identity.email = "uc-group-cluster-group" AND service_name = "unityCatalog"
order by event_time desc limit 100;

監査ログのシステムテーブル リファレンスで、クエリのその他の例を参照してください。 Audit log システムテーブルリファレンスを参照してください。

制限事項

専用グループ アクセス モードのパブリック プレビューには、次の既知の制限があります。

  • リネージ システムテーブルは、グループ クラスタリングで実行されているワークロードの identity_metadata.run_as (認証グループ) または identity_metadata.run_by (認証ユーザー) の ID を記録しません。

  • 顧客ストレージに配信される監査ログには、グループ クラスタリングで実行されているワークロードの identity_metadata.run_as (認証グループ) または identity_metadata.run_by (認証ユーザー) の ID は記録されません。 ID メタデータを表示するには、 system.access.audit テーブルを使用する必要があります。

  • グループ クラスタリングにアタッチされている場合、Catalog Explorer は、グループのみがアクセスできるアセットでフィルタリングされません。

  • グループ メンバーではないグループ マネージャーは、グループ クラスタリングを作成、編集、または削除できません。 ワークスペースの管理者とグループメンバーのみがこれを行うことができます。

  • グループの名前を変更した場合は、グループ名を参照するコンピュート ポリシーを手動で更新する必要があります。

  • グループ クラスタリングは、ACL が無効になっているワークスペース (isWorkspaceAclsEnabled == false) では、ワークスペース ACL が無効になっている場合、セキュリティとデータ アクセス制御が本質的に欠如しているため、サポートされていません。

  • 現在、 %run コマンドは、グループ クラスタリングで実行されるときに、グループの権限ではなくユーザーの権限を使用します。 dbutils.notebook.run() などの代替手段は、グループの権限を正しく使用します。