エンタイトルメントの管理
このページでは、ユーザー、サービスプリンシパル、およびグループの権限を管理する方法について説明します。
資格の概要
エンタイトルメントは、ユーザー、サービスプリンシパル、またはグループが指定された方法で Databricks と対話できるようにするプロパティです。 エンタイトルメントは、ワークスペース レベルでユーザーに割り当てられます。 エンタイトルメントは、プレミアムプラン以上でのみ利用可能です。
アクセス権限
各アクセス権限は、ワークスペース内の特定の機能セットへのアクセス権をユーザーに付与します。
- コンシューマ : ダッシュボードと Genie spacesを表示するための簡略化された環境へのアクセスを許可します。 「コンシューマー アクセスとは」を参照してください。
- Databricks SQL アクセス:Databricks SQL ダッシュボード、クエリ、SQL ウェアハウスなどの 機能へのアクセスを許可します。「Databricks SQL とは」を参照してください。
- ワークスペース アクセス : データ サイエンス & エンジニアリング エリアと Databricks Mosaic AI エリアのノートブック、ジョブ、モデル、パイプラインなどの主要なワークスペース機能へのアクセスを許可します。 とを使用したデータエンジニアリングDatabricksAI と 機械学習 onDatabricks を参照してください。
次の表は、各アクセス権限で付与される機能を示しています。
機能 | コンシューマーアクセス | Databricks SQLへのアクセス | ワークスペースのアクセス権 |
|---|---|---|---|
ダッシュボードとGenie spacesの読み取り/実行 | ✓ | ✓ | ✓ |
SQLツールを使用したウェアハウス クエリBI | ✓ | ✓ | |
Databricks SQL オブジェクトの読み取り/書き込み | ✓ | ||
データサイエンスおよびエンジニアリングオブジェクトの読み取り/書き込み | ✓ | ||
Databricks Mosaic AI オブジェクトの読み取り/書き込み | ✓ |
Databricks ワークスペースにアクセスするには、ユーザーは少なくとも 1 つのアクセス権限を持っている必要があります。
コンシューマー アクセスとアカウント ユーザー
前の表は、ワークスペース内のアクセス権限をまとめたものです。次の表は、 コンシューマー アクセス権 を持つワークスペース ユーザーと、ワークスペース メンバーシップを持たないアカウント ユーザーが使用できる機能を比較したものです。
機能 | ワークスペースへのコンシューマーアクセス | ワークスペース メンバーシップを持たないアカウント ユーザー |
|---|---|---|
埋め込み資格情報を使用したダッシュボードの表示 | ✓ | ✓ |
ビューアーの資格情報を使用したダッシュボードと Genie spaces の表示 | ✓ | |
行レベルと列レベルのセキュリティを使用したオブジェクトの表示 | ✓ | |
限定的なコンシューマーワークスペースUIへのアクセス | ✓ | |
SQLツールを使用したウェアハウス クエリBI | ✓ |
コンピュート エンタイトルメント
[無制限のクラスタリング作成を許可する ] と [ プール作成を許可する ] の権利は、ワークスペースでコンピュート リソースをプロビジョニングする機能を制御します。ワークスペース管理者はデフォルトでこれらの権限を受け取り、削除することはできません。管理者以外のユーザーには、明示的に割り当てられていない限り、これらのユーザーは付与されません。
-
[無制限のクラスタリングの作成を許可する ] は、ユーザーまたはサービスプリンシパルに無制限のクラスタリングを作成する権限を付与します。
-
プールの作成を許可 は、インスタンスプールの作成を有効にします。これはグループにのみ付与できます。
この権限は、グループがすでに持っている場合にのみ、管理者設定UIに表示されます。
adminsグループを除く任意のグループのUIを使用して削除できます。ただし、削除できません。グループに割り当てるには、API を使用します。「API を使用したエンタイトルメントの管理」を参照してください。
デフォルトのエンタイトルメント
一部の権限は、特定のユーザーおよびグループに自動的に付与されます。
-
ワークスペース管理者 には、常に次の権限が付与され、削除することはできません。
- ワークスペースのアクセス権
- 無制限のクラスター作成を許可する
- プールの作成を許可する
管理者には、デフォルトによって Databricks SQL アクセス も付与されますが、削除することもできます。 ただし、管理者はエンタイトルメント管理のアクセス許可を保持しているため、いつでも自分自身に再割り当てできます。
-
ワークスペース ユーザーに は、
usersグループのメンバーシップを通じて、デフォルトによって ワークスペース アクセス と Databricks SQL アクセス が許可されます。すべてのワークスペース ユーザーとサービスプリンシパルは、このグループに自動的に追加されます。usersグループのデフォルトの権限は、権限の割り当てまたは制限方法に影響します。 コンシューマー アクセス エクスペリエンスを提供するには、usersグループ (および該当する場合はaccount usersグループ) からデフォルトの権利を削除し、特定のユーザー、サービスプリンシパル、またはグループに個別に権利を割り当てる必要があります。「 ワークスペース グループを新しいアカウント グループに複製する」を参照してください。
ワークスペース管理者設定ページを使用してエンタイトルメントを管理する
ワークスペース管理者は、ワークスペース管理者設定ページを使用して、ユーザー、サービスプリンシパル、およびグループの権限を管理できます。
- ワークスペース管理者として、Databricksワークスペースにログインします。
- トップバーでユーザー名をクリックし、[ 設定 ]を選択します。
- [ IDとアクセス ] タブをクリックします。
- 管理する内容に応じて、[ ユーザー ]、[ サービスプリンシパル ]、または [グループ ] の横にある [管理 ] をクリックします。
- 更新するユーザー、サービスプリンシパル、またはグループを選択します。
- ユーザーとグループの場合は、「 エンタイトルメント 」タブをクリックします。サービスプリンシパルの場合、エンタイトルメントのチェックボックスが直接表示されます。
- エンタイトルメントを付与するには、エンタイトルメントの横にあるトグルを選択します。
権限を削除するには、トグルの選択を解除します。
権限がグループから継承されている場合、トグルは選択されているように見えますが、グレー表示されます。継承された権利を削除するには、次のいずれかを実行します。
- 権限を持つグループからユーザーまたはサービスプリンシパルを削除する、または
- グループ自体から資格を削除します。
グループ資格を削除すると、そのグループのすべてのメンバーに影響します。ただし、そのメンバーには個別に、または別のグループを通じて資格が付与されています。
API を使用したエンタイトルメントの管理
ユーザー、サービスプリンシパル、およびグループの権限は、次の APIsを使用して管理できます。
次の表に、各エンタイトルメントとそれに対応する API 名を示します。
エンタイトルメント名 | エンタイトルメント API 名 |
|---|---|
ワークスペースのアクセス権 |
|
Databricks SQLへのアクセス |
|
無制限のクラスター作成を許可する |
|
プールの作成を許可する |
|
たとえば、API を使用して allow-instance-pool-create エンタイトルメントをグループに割り当てるには、次のようにします。
curl --netrc -X PATCH \
https://<databricks-instance>/api/2.0/preview/scim/v2/Groups/<group-id> \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .
update-group.json:
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [
{
"op": "add",
"path": "entitlements",
"value": [
{
"value": "allow-instance-pool-create"
}
]
}
]
}