Databricks オートメーションへのアクセスを管理する
この記事では、Databricks 資格情報のアクセス許可を構成する方法について説明します。 資格情報を使用して Databricks に対する認証を行う方法については、「 Databricks 自動化の認証 - 概要」を参照してください。
注
Databricks オートメーション認証アクセス許可は、 Premium プラン以上でのみ使用できます。
個人用アクセストークンのアクセス許可
ワークスペース管理者は、個人のアクセス トークンに権限を設定して、トークンを作成および使用できるユーザー、サービス プリンシパル、およびグループを制御できます。 トークン アクセス制御を使用する前に、 Databricksワークスペース管理者がワークスペースの個人用アクセス トークンを有効にする必要があります。 「ワークスペースの個人用アクセストークン認証を有効または無効にする」を参照してください。
ワークスペース ユーザーは、次のいずれかのトークン権限を持つことができます。
NO PERMISSIONS: ユーザーは、Databricks ワークスペースへの認証に個人アクセス権を作成または使用することはできません。
使用可能: ユーザーは個人用アクセス ノートを作成し、それを使用してワークスペースへの認証を行うことができます。
管理可能 (ワークスペース管理者のみ):** ユーザーは、すべてのワークスペース ユーザーの個人アクセス許可とそれらの使用許可を管理できます。 ワークスペース
admins
グループのユーザーにはデフォルトでこの権限が与えられており、取り消すことはできません。 他のユーザー、サービスプリンシパル、またはグループには、この権限を付与することはできません。
次の表に、各トークン関連タスクに必要なアクセス許可を示します。
タスク |
NO PERMISSIONS |
使用可能 |
CAN MANAGE |
---|---|---|---|
トークンを作成する |
x |
x |
|
認証にトークンを使用する |
x |
x |
|
独自のトークンを取り消す |
x |
x |
|
ユーザーまたはサービスプリンシパルのトークンを取り消す |
x |
||
すべてのトークンを一覧表示する |
x |
||
トークンのアクセス許可を変更する |
x |
管理設定ページを使用したトークンのアクセス許可の管理
このセクションでは、ワークスペース UI を使用してアクセス許可を管理する方法について説明します。 Permissions API または Databricks Terraform プロバイダーを使用することもできます。
設定ページに移動します。
「 詳細設定 」タブをクリックします。
[ Personal アクセストークン] の横にある [アクセス許可] ボタンをクリックして、トークンの アクセス許可 エディターを開きます。
ユーザー、サービスプリンシパル、またはグループを検索して選択し、割り当てるアクセス許可を選択します。
users
グループに CAN USE 権限があり、管理者以外のユーザーに対してより詳細なアクセス権限を適用したい場合は、権限ドロップダウン メニューの横にある [ X]をクリックして、users
グループから CAN USE 権限を削除します。ユーザーの行に。[ + 追加] をクリックします。
[保存]をクリックします。
警告
変更を保存すると、以前に CAN USE または CAN MANAGE 権限を持っていて、どちらの権限も持たなくなったユーザーは、個人アクセス車両認証へのアクセスを拒否され、アクティブなトークンはすぐに削除 (取り消し) されます。 削除されたトークンは復元できません。
パスワードのアクセス許可
統合ログインが無効になっている場合、既定では、すべてのワークスペース管理者ユーザーはワークスペース レベルの SSO またはユーザー名とパスワードを使用して Databricks にサインインでき、すべての API ユーザーはユーザー名とパスワードを使用して Databricks REST APIs に対して認証できます。
ワークスペース管理者は、ワークスペースレベルの SSO が有効になっている場合、パスワードアクセス制御を構成して、ワークスペース管理者ユーザーと API ユーザーがユーザー名とパスワードで認証する機能を制限できます。
注
パスワード アクセス制御は、統合ログインが無効になっている場合にのみ設定できます。 統合ログインは、2023 年 6 月 21 日以降に作成されたすべてのアカウントで有効になります。 アカウントで統合ログインが有効になっていて、パスワード アクセス制御が必要な場合は、Databricks アカウント チームにお問い合わせください。
統合ログインが有効になっている場合のサインイン プロセスの詳細については、 「ワークスペースのサインイン プロセス」を参照してください。
パスワードには、NO PERMISSIONS と CAN USE の 2 つの権限レベルがあります。 CAN USE では、非管理者ユーザーよりもワークスペース管理者に多くの権限が付与されます。 次の表に、各権限の機能を示します。
タスク |
NO PERMISSIONS |
使用可能 |
---|---|---|
パスワードを使用してAPIを認証できます |
x |
|
パスワードを使用して Databricks UI を認証できます |
x (ワークスペース管理者のみ) |
権限のない管理者以外のユーザーがパスワードを使用して REST API 呼び出しを行おうとすると、認証は失敗します。 Databricks では、ユーザー名とパスワードの代わりに個人用アクセストークン REST 認証をお勧めします。
CAN USE 権限を持つワークスペース管理者ユーザーには、サインイン ページの[管理者ログイン]タブが表示されます。 そのタブを使用して、ユーザー名とパスワードを使用して Databricks にログインすることを選択できます。
権限のないワークスペース管理者にはこのページが表示されず、SSO を使用してログインする必要があります。 ワークスペースレベルの SSO が有効になっている場合、管理者以外のすべてのユーザーにはこのページが表示されず、SSO を使用してログインする必要があります。
パスワードのアクセス許可を構成する
このセクションでは、ワークスペース管理設定ページを使用してアクセス許可を管理する方法について説明します。
ワークスペース管理者として、Databrickワークスペースにログインします。
Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。
「 詳細設定 」タブをクリックします。
[ パスワードの使用法] の横にある [権限設定] をクリックします。
[権限設定]ダイアログで、ユーザーまたはグループの横にあるドロップダウンメニューを使用して、ユーザーおよびグループにパスワード権限を割り当てます。
Admins
グループのアクセス許可を構成することもできます。[保存]をクリックします。
アクセス許可 API を使用してパスワードのアクセス許可を構成することもできます。