認証とアクセス制御
この記事では、Databricks での認証とアクセス制御について説明します。データへのアクセスの保護に関する情報については、「Databricksによるデータガバナンス」を参照してください。
Databricks にサインインする
Databricks では、セキュリティを強化し、使いやすさを向上させるために、シングル サインオン (SSO) と統合ログインを構成することをお勧めします。SSO を使用すると、ユーザーは組織の ID プロバイダーを使用して Databricks にサインインできます。
ほとんどのアカウントでは、統合ログインはデフォルトで有効になっています。これは、アカウントとすべての Databricks ワークスペースで 1 つの SSO 構成が使用されることを意味します。SSOを構成したら、IDプロバイダーを使用して、多要素認証などのきめ細かなアクセス制御を有効にできます。「Databricks で SSO を構成する」を参照してください。
SSO が構成されている場合、ジャストインタイム (JIT) プロビジョニングを構成して、最初のログイン時に ID プロバイダーから新しいユーザー アカウントを自動的に作成できます。「ユーザーの自動プロビジョニング (JIT)」を参照してください。
シングルサインオンを構成しない場合、ユーザーは選択した外部アカウント (Google など) またはワンタイムパスコードを使用して Databricks にログインできます。「Eメールでのサインイン」または「外部アカウントでのサインイン」を参照してください。
ロックアウトを防ぐために、アカウント管理者は最大 20 人のユーザーに対して緊急アクセスを設定できます。 これらのユーザーは、パスワードと多要素認証を使用して Databricks にサインインできます。 ロックアウトを防ぐための緊急アクセスを参照してください。
ID プロバイダーからユーザーとグループを同期する
自動 ID 管理 (パブリック プレビュー) またはSCIMを使用して、ユーザーとグループを ID プロバイダーからDatabricksアカウントに自動的に同期できます。 自動 ID 管理を使用すると、ID フェデレーション ワークスペースで ID プロバイダーのユーザー、サービスプリンシパル、グループを直接検索し、ワークスペースとDatabricksアカウントに追加できます。 DatabricksはIDプロバイダーを記録のソースとして使用するため、ユーザーやグループメンバーシップへの変更はDatabricksにも反映されます。詳細な手順については、 「自動ID管理」を参照してください。
SCIMプロビジョニングを使用して、ユーザーとグループをアイデンティティ プロバイダーからDatabricksに同期することもできます。 SCIMを使用してアイデンティティ プロバイダーからユーザーとグループを同期する」を参照してください。
Databricksでユーザーとグループを最適に構成する方法の詳細については、「ID のベスト プラクティス」を参照してください。
OAuth による安全な API 認証
Databricks OAuth は、Databricks ワークスペース レベルでのリソースと操作の安全な資格情報とアクセスをサポートし、承認のためのきめ細かなアクセス許可をサポートします。
Databricks では、個人用アクセス トークン (PAT) もサポートされていますが、代わりに OAuth を使用することをお勧めします。 PAT を監視および管理するには、「 個人用アクセス トークンの監視と取り消し 」および「 個人用アクセス トークンのアクセス許可の管理」を参照してください。
Databricksオートメーション全体に対する認証の詳細については、 Databricksリソースへのアクセスを承認する」を参照してください。
アクセス制御の概要
Databricks には、セキュリティ保護可能なオブジェクトごとに異なるアクセス制御システムがあります。 次の表は、どのアクセス制御システムがどの種類のセキュリティ保護可能なオブジェクトを制御するかを示しています。
セキュリティ保護可能なオブジェクト | アクセス制御システム |
|---|---|
ワークスペース レベルのセキュリティ保護可能なオブジェクト | アクセス制御リスト |
アカウント レベルのセキュリティ保護可能なオブジェクト | アカウント 役割ベースのアクセス制御 |
データ保護可能なオブジェクト | Unity Catalog |
Databricks には、ユーザー、サービスプリンシパル、およびグループに直接割り当てられる管理者ロールと権限も用意されています。
データのセキュリティ保護に関する情報については、「Databricksによるデータガバナンス」を参照してください。
アクセス制御リスト
Databricksでは、アクセス制御リスト (ACL) を使用して、ノートブックや SQLウェアハウスなどのワークスペースオブジェクトへのアクセス許可を構成できます。すべてのワークスペース管理者ユーザーは、アクセス制御リストを管理するための委任された権限を付与されたユーザーと同様に、アクセス制御リストを管理できます。 アクセス制御リストの詳細については、「 アクセス制御リスト」を参照してください。
アカウント 役割ベースのアクセス制御
アカウント 役割ベースのアクセス制御 を使用して、サービスプリンシパル や グループなどのアカウント レベルのオブジェクトを使用する権限を構成できます。 アカウント ロールは、アカウント内で一度定義すると、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーがアカウントロールを管理でき、グループマネージャーやサービスプリンシパルマネージャーなど、アカウントロールを管理するための委任されたアクセス許可が付与されたユーザーも管理できます。
特定のアカウントレベルオブジェクトに対するアカウントの役割の詳細については、次の記事に従ってください。
管理者ロールとワークスペースのエンタイトルメント
Databricks プラットフォームで使用できる管理者権限には、主に 2 つのレベルがあります。
-
アカウント管理者: ワークスペースの作成、ユーザー管理、クラウド リソース、アカウント 使用量 モニタリングなど、 Databricks アカウントを管理します。
-
ワークスペース管理者: アカウント内の個々のワークスペースのワークスペース ID、アクセス制御、設定、および機能を管理します。
より限定された権限セットを持つ機能固有の管理者ロールもあります。利用可能なロールの詳細については、 「Databricks 管理の概要」を参照してください。
エンタイトルメントは、ユーザー、サービスプリンシパル、またはグループが指定された方法で Databricks と対話できるようにするプロパティです。 ワークスペース管理者は、ワークスペース レベルでユーザー、サービスプリンシパル、およびグループにエンタイトルメントを割り当てます。 詳細については、「 エンタイトルメントの管理」を参照してください。