認証とアクセス制御

この記事では、Databricks の認証とアクセス制御について紹介します。 データへのアクセスを保護する方法については、 「Unity カタログを使用したデータガバナンス」を参照してください。

Databricksでユーザーとグループを最適に構成する方法の詳細については、「ID のベスト プラクティス」を参照してください。

シングルサインオン

シングル サインオンを使用すると、組織の ID プロバイダーを使用してユーザーを認証できます。 Databricks では、セキュリティを強化し、使いやすさを向上させるために SSO を構成することを推奨しています。 SSO が設定されると、ID プロバイダーを介して多要素認証などのきめ細かいアクセス制御を有効にできます。 統合ログインを使用すると、アカウントと Databricks ワークスペースに使用される 1 つの SSO 構成をアカウントで管理できます。 アカウントが 2023 年 6 月 21 日より前に作成された場合は、アカウントとワークスペースで SSO を個別に管理することもできます。 Databricks アカウント コンソールで SSO を確認し、 ワークスペースの SSO を設定します。

SCIMプロビジョニングを使用したIDプロバイダーからのユーザーとグループの同期

ユーザーのプロビジョニングを自動化できるオープン スタンダードであるSCIM ( System for Cross-domain Identity Management) を使用して、ユーザーとグループを ID プロバイダーから Databricks アカウントに自動的に同期できます。 SCIM は、ID プロバイダーを使用して Databricks にユーザーとグループを作成し、適切なレベルのアクセス権を付与することで、新しい従業員またはチームのオンボーディングを効率化します。 ユーザーが組織を離れたり、Databricks にアクセスする必要がなくなったりした場合、管理者は ID プロバイダーでそのユーザーを終了でき、そのユーザーのアカウントも Databricks から削除されます。 これにより、一貫したオフボーディングプロセスが保証され、権限のないユーザーが機密データにアクセスするのを防ぎます。 詳細については、 「ID プロバイダーからのユーザーとグループの同期」を参照してください。

セキュア API 認証

Databricks 個人用アクセストークンは、Databricks ワークスペース レベルでのリソースと操作に対して最もよくサポートされている種類の資格情報の 1 つです。 API 認証をセキュリティで保護するために、ワークスペース管理者は、Databricks 個人用アクセストークンを作成して使用できるユーザー、サービスプリンシパル、およびグループを制御できます。

Databricks ユーザーは、Databricks のユーザー名とパスワード (基本認証) を使用して REST APIs にアクセスすることもできます。 統合ログインが無効になっているアカウントでは、ワークスペース管理者はパスワードアクセス制御を使用して、特定のユーザーが基本認証を使用する機能を付与および取り消すことができます。

詳細については、「 Databricks オートメーションへのアクセスを管理する」を参照してください。

ワークスペース管理者は、 Databricksの個人アクセストークンを確認したり、トークンを削除したり、ワークスペースの新しいトークンの最大有効期間を設定したりすることもできます。 「個人のアクセストークンの監視と管理」を参照してください。

Databricks オートメーションに対する認証の詳細については、「 Databricks オートメーションの認証 - 概要」を参照してください。

アクセス制御の概要

Databricks には、セキュリティ保護可能なオブジェクトごとに異なるアクセス制御システムがあります。 次の表は、セキュリティ保護可能なオブジェクトの種類を管理するアクセス制御システムを示しています。

セキュリティ保護可能なオブジェクト	入退室管理システム
ワークスペースレベルのセキュリティ保護可能なオブジェクト	アクセス制御リスト
アカウントレベルのセキュリティ保護可能なオブジェクト	アカウント役割ベースのアクセス制御
データのセキュリティ保護可能なオブジェクト	Unity Catalog

Databricks 、ユーザー、サービスプリンシパル、およびグループに直接割り当てられる管理者のロールと資格も提供します。

データの保護に関する情報については、 Unity Catalogを使用したデータガバナンスを参照してください。

アクセス制御リスト

Databricksでは、アクセス制御リスト (ACL) を使用して、ノートブックや SQL ウェアハウスなどのワークスペース オブジェクトへのアクセス許可を構成できます。 すべてのワークスペース管理者ユーザーは、アクセス コントロール リストを管理するための委任されたアクセス許可を与えられたユーザーと同様に、アクセス コントロール リストを管理できます。 アクセス制御リストの詳細については、 「アクセス制御リスト」を参照してください。

アカウント役割ベースのアクセス制御

アカウント役割ベースのアクセス制御を使用して、サービスプリンシパルやグループなどのアカウントレベルのオブジェクトを使用する権限を構成できます。 アカウントの役割はアカウント内で一度定義され、すべてのワークスペースに適用されます。 すべてのアカウント管理者ユーザーは、グループ マネージャーやサービスプリンシパル マネージャーなど、アカウント ロールを管理するための委任されたアクセス許可を与えられたユーザーと同様に、アカウント ロールを管理できます。

特定のアカウント レベルのオブジェクトのアカウント ロールの詳細については、次の記事を参照してください。

• サービス プリンシパルを管理するためのロール

• アカウントコンソールを使用してグループのロールを管理する

Databricks 管理者のロール

セキュリティ保護可能なオブジェクトのアクセス制御に加えて、Databricks プラットフォームには組み込みのロールがあります。 ユーザー、サービスプリンシパル、グループにロールを割り当てることができます。

Databricks プラットフォームで使用できる管理者権限には、主に 2 つのレベルがあります。

• アカウント管理者：ワークスペースの作成、ユーザー管理、クラウドリソース、アカウント使用状況の監視など、Databricksアカウントを管理します。

• ワークスペース管理者：アカウント内の個々のワークスペースのワークスペースID、アクセス制御、設定、機能を管理します。

さらに、ユーザーには、より狭い権限セットを持つ次の機能固有の管理者ロールを割り当てることができます。

• Marketplace 管理者: Marketplace リストの作成と管理を含む、アカウントの Databricks Marketplace プロバイダー プロファイルを管理します。

• メタストア管理者: Unity Catalogメタストア内のすべてのセキュリティ保護可能なオブジェクトの権限と所有権 (カタログの作成やテーブルのクエリを実行できる人など) を管理します。

ユーザーをワークスペース ユーザーとして割り当てることもできます。 ワークスペース ユーザーはワークスペースにログインでき、ワークスペース レベルの権限を付与できます。

詳細については、 「シングル サインオン ( SSO ) の設定」を参照してください。

ワークスペースの権利

資格は、ユーザー、サービスプリンシパル、またはグループが指定された方法でDatabricksと対話できるようにするプロパティです。 ワークスペース管理者は、ワークスペース レベルでユーザー、サービスプリンシパル、およびグループに資格を割り当てます。 詳細については、 「資格の管理」を参照してください。